Nonostante si molto diffuso e ben pubblicizzati i problemi di vulnerabilità che sono stati riscontrati in Java, un gran numero di utenti continuare ad utilizzare versioni che sono da settimane, mesi o anche anni non aggiornate, questo secondo un sondaggio condotto da Websense presso i suoi clienti. Dalla raccolta di dati provenienti da milioni di endpoint, Websense ha scoperto un sorprendente grado di frammentazione del client Java, con tre quarti di essi che sono almeno da sei mesi che non ricevono un aggiornamento.
Inoltre i due terzi non aggiornano il software da un anno e mezzo mentre circa la metà ha almeno un anno di ritardo rispetto alle patch rilasciate, lasciando così il pc e la rete a cui è collegato vulnerabili ad attacchi mirati utilizzando comuni exploit Java. Il dato più sorprendente è che un quarto dei clienti di Websense non aggiorna Java da addirittura quattro anni. In sintesi solo un pc su 20 esegue la versione più recente di Java.
La desolante frammentazione delle versioni di Java rilevate da Websense. La torta inizia in alto con lo spicchio lilla e procede nel tempo in senso antiorario fino allo spicchio blu. In pratica, più di metà degli utenti non aggiorna Java da ottobre del 2010!
Websense ha rilevato che il 94% degli endpoint erano vulnerabili, ad esempio, al recente bug CVE-2013-1493, mentre tre quarti erano vulnerabili al bug CVE-2012-5076 rilevato lo scorso novembre. "Questo significa che oltre il 77 % degli utenti (sulla base della nostra ricerca) sta utilizzando la versione Java che sono essenzialmente alla fine della loro vita e non verranno aggiornati, o supportati da Oracle", ha detto Websense.
Da questo emerge che un numero sorprendentemente elevato di utenti non sono "sensibili" ad aggiornare Java, cosa che potrebbe accadere anche con altri software, lasciando così il proprio pc in balia di malware e affini. In secondo luogo, anche quelli che non hanno difficoltà a tenere il passo con l'inesorabile ciclo di aggiornamenti, non sempre si rendono conto hanno l'ultima e più sicura versione di Java o meno.
La situazione è così grave che molti esperti di sicurezza consigliano ai consumatori e alle imprese di abbandonare del tutto Java, e di farlo il più presto possibile. Crediamo, però, che questo consiglio sia quantomeno insensato. La soluzione è quella di tenere aggiornati i software e non quella di non usarli. Anche perché, seriamente, chi crede davvero che gli utenti che non aggiornano un componente essenziale come Java vadano a disinstallarlo perché hanno trovato per caso un avviso che probabilmente non hanno compreso?