甲骨文發表一篇部落格文章敘述(及希望)會提高Java的安全性。從那之後,我問過了幾次:這指的究竟是什麼和這對一般使用者來說代表什麼?
首先,甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼,事實上,它們比以前的修補程式解決更多安全漏洞。更重要的是,Java的更新時間表已經和其他Oracle產品線一致:每三個月就會推出一次修補程式,從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前,能夠得到更迅速的解決。當然,甲骨文也會繼續替關鍵漏洞提供時間表外的更新。
Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入,舉例來說,甲骨文現在就會使用自動化安全測試工具,來防止修正錯誤時出現回歸和新的問題。這是個好消息,因為它意味著未來將可以更快速的修補問題。
接下來,他們談論自己是如何地努力在提高Java的安全性,因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是,甲骨文將會盡快推行的是什麼:未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生,但如果這麼做,將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰,好讓他們的Java程式可以執行:雖然這沒辦法阻止一個真正堅持的攻擊者,但對於不是那麼針對性的攻擊將會減少。此外,Oracle還致力於改善Java如何處理被撤銷的簽章,所以這程序可以在以後被預設打開。
對於企業用戶來說也有好消息。未來版本將會支持Windows本身所強制的安全政策,比方說系統管理員可以大規模的在公司網路內去設定限制或放鬆Java使用,而不需要一台一台電腦去設定。此外,也開發了新形態的Java派送模式以讓伺服器執行Java應用程式 – 伺服器JRE。這種派送模式會移除好幾個函式庫,以減少潛在的攻擊面。
所有的這些變化都是為了變得更好,甲骨文已經承認,當過去談到Java的安全性時,的確會遭到許多質疑,他們正在努力地去改善它。我們應該稱讚這些努力,也希望他們能夠成功地減少因為Java漏洞而帶來的威脅,這跟趨勢科技建立一個讓世界可以安全交換數位資訊的目標不謀而合。
在這同時,我們也強烈呼籲使用者做好自己的本分,將自己的Java保持到最新版本。我們在之前討論過如何防護Java – 「如果必要的話 該如何使用Java」。
@原文出處:Oracle Improves Java Security – What It Means For End Users
@延伸閱讀
- 黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊
- 重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動
- 《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)
- Asprox殭屍網路重生
- Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌
- 後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器
- 更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架
- 假Java零時差漏洞修補程式,真勒索軟體
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
◎ 歡迎加入趨勢科技社群網站
