Java, tra bloatware e falle infinite

Non si fermano le polemiche su Java, la virtual machine costantemente al centro della scena per i suoi ricorrenti problemi di sicurezza e non solo. L’ultima polemica coinvolge difatti Oracle e il metodo di distribuzione del pacchetto software su sistemi Windows, un metodo ritenuto scorretto che installa software non richiesto sul PC dell’utente.

La contestazione arriva da un pezzo su ZDNET a firma Ed Bott, che in passato aveva già preso di mira Adobe e Skype definendoli campioni del “foistware”: usando il client di aggiornamento fornito di default da Oracle, riferisce Bott, gli utenti si trovano davanti alla scelta di installare software di terze parti aggiuntivo come la toolbar di Ask.com e McAfee Security Scanner .

La scelta (disabilitabile, ma abilitata di default) è presente all’installazione di ogni aggiornamento di sicurezza, dice Bott, e vista la frequente necessità di patch correttive è probabile che prima o poi qualcuno installi barre o similari sul proprio sistema anche senza volerlo.

Al di là della disdicevole politica di rifilare software di terze parti in un update che dovrebbe avere a che fare con la sicurezza e nient’altro, dice Bott, il comportamento di Ask.com è a dir poco sospetto : l’installer della toolbar non parte se non dopo i primi 10 minuti, e i risultati delle ricerche appaiono pensati per servire advertising più che per fornire informazioni utili all’utente.

Java è ora un ricettacolo di simili pratiche, oltre a essere un nido di falle zero-day senza speranza di redenzione suggerisce Bott, e quel che è peggio la verità dei fatti è persino più dura per la sempre problematica reputazione pubblica di Oracle: Java è stato patchato in emergenza pochi giorni or sono , una nuova falla è stata scoperta subito dopo e ora i ricercatori di sicurezza hanno individuato altre due vulnerabilità “inedite” sfruttabili per compromettere il sistema.

Alfonso Maruccia