La firma de seguridad Bit9 ha publicado un interesante informe donde se analiza el estado de java en el mundo empresarial. Este informe, con título "Java Vulnerabilities Report: Write Once, Pwn Anywhere", se basa en el análisis de más de 1 millón de equipos empresariales que tienen instalado el software de reputación de Bit9; estos equipos pertenecen a cerca de 400 organizaciones diferentes.
Según este informe, la versión de Java que uno más comúnmente se encuentra en el mundo empresarial, presente en el 82% de los equipos, es Java 6, una versión que ha llegado a su EOF y que, por tanto, no se está parcheando. De entre todas las versiones de Java, Java 6 Update 20 es la más popular, presente en cerca del 10% de los equipos. En la actualidad esta versión tiene 215 fallos de seguridad conocidos, 96 de los cuales son críticos.
En el momento de recoger los datos de este informe la última versión disponible de Java era Java 7 Update 21; es decir, esta es la última versión de Java para la cual no se conocían vulnerabilidades de modo público y por tanto, la única para la cual en teoría no hay exploits. Esta versión estaba presente en 0.25% de los equipos.
Otro dato curioso del informe es que una gran cantidad de equipos empresariales tiene múltiples versiones de Java instaladas; el 42% de los equipos tenía más de dos versiones de Java instaladas, y el 20% tenía más de tres versiones de Java instaladas. La empresa promedio tenía más de 50 versiones diferentes de Java instaladas en toda la organización.
Uno de los problemas que tiene esto es que un atacante podría atacar a la versión más antigua de Java, y que probablemente la empresa sólo está actualizando la versión más moderna. Muchas de estas versiones obsoletas de Java se correspondían con Java 5, ya que al realizar una actualización de Java 6 o 7 no se elimina la versión anterior de Java 5.
Si bien Bit9 tiene motivos para "tratar de meterle el miedo en el cuerpo" a las empresas y probablemente estos datos está un poco sesgados hacia lo catastrófico, si creo que representan bastante bien cuál es la actual situación de Java en la empresa. ¿Qué opinais vosotros?