关于Java的安全事件屡屡发生,黑客通过发现IE浏览器中Java插件的漏洞,在有漏洞的用户计算机中安装恶意软件。近日甲骨文发布了Java的一个紧急更新。由于一个严重漏洞的曝光,美国政府数天前建议PC用户暂时禁用Java,以免遭到黑客攻击。
但是通过Java,可以运行客户端桌面应用程序和向WEB浏览器拓展,这使得Java成为 了一枚定时炸弹,随时爆发安全隐患。
下面我来来盘点一下Java 安全的真相:
1、安全关注:客户端的Java
黑客往往利用Java在浏览器中的插件来攻击Java的客户端,甲骨文此次紧急更新解决了Java 7的两个漏洞,攻击者就是攻击了Java中的漏洞代码。黑客已经知道如何利用Java的一个漏洞去安装恶意软件,这可能导致个人信息泄露,或是使用户计算机成为僵尸网络中的一员。甲骨文表示,此次曝光的漏洞仅对Java 7有影响。
2、零日漏洞仍然是一个漏洞
Java使用非常广泛,已经成为黑客的主要攻击对象之一。去年Java使用率已超越Adobe公司的Reader软件,成为最易受黑客攻击的软件。Oracle此次发布的更新包含了安全漏洞CVE-2013-0422的补丁,同时也改变了默认的Java安全级别设置。任何未签名的Java Applet或Java Web Start应用程序运行时总是会被提示,这样可以防止恶意应用被下载,对用户来说这可能会带来的影响是需要多确认一下。
3、美国国土安全部建议:禁用Java
之前美国国土安全部称Java带来了风险,并建议用户关闭软件。尽管Oracle发布了一个Java漏洞的修复补丁,但该部门在当天更新的安全注意事项(security note)里仍表示,Java 7的_update11实际上可能没有限制特权代码的访问。禁用Java可以确保企业不受Java漏洞的侵害。
4、攻击者仍追捧Java漏洞的攻击
目前 Java 已经成为了黑客的主要攻击目标。根据卡巴斯基实验室的报告,超过半数的攻击都是针对 Java 发起的,Adobe Reader 软件占 28% 的“攻击份额”,Windows 系统和 IE 浏览器的份额则为 3%。
Java漏洞被网络攻击者追捧,而这里漏洞的攻击对罪犯非常有吸引力,因为可以通过Java漏洞来攻击可利用的目标。
5、限制Java的管理工具
到底是启用Java还是禁用Java?事实上,没有使用Java可以做到百分之百的安全。但是却可以降低被攻击的风险。例如通过完善网络架构,IT管理员加强网络保护等措施保护网络边界的安全。
针对企业的浏览器Java扩展,可以选用第三方的策略工具,提供了一个高层次的集中管理Java环境,这种集中管理应用程序还允许远程禁用Java,提高Java中执行的安全性能。
6、用Java进行基于浏览器的桌面应用程序开发
黑客找到了利用Java网络浏览器版本漏洞将恶意软件安装在PC上的方法,从而实施各种犯罪行为,从窃取身份证信息到利用受感染的电脑对网站发动广泛攻击。为了使企业更容易保护Java,甲骨文可能会推出不同类型的Java系列。一个快速的解决方法就是使企业能够在台式机上安装Java运行时环境,而无需安装浏览器扩展。