早在2010年十月,Apple就宣布他們將會放棄對Java的支援。這並不會影響到Oracle去直接支援這個Unix系統平台,就跟它會支援其他的Unix作業系統一樣。因為OSX對Java更新的遲緩讓它面臨了clickjacking點擊劫持和其他惡意活動的威脅。Apple最後終於負起責任去更新了Java 6 Update 33。在那之後,Java 6的另一個變更會影響兩個不同地區的時區變化。但Apple似乎不大可能去進一步的更新OSX的Java 6。
在2012年8月14日,Oracle釋出Java 7 Update 6給Mac上的Lion和Mountain Lion作業系統。Oracle對OSX的直接支援終止了Apple Java更新遲緩所受到的指責。Java的未來及相關的安全性現在顯然是握在Oracle的手上。在Oracle釋出OSX Java 7 Update 6更新版本的兩個禮拜內,一個漏洞被發現會影響Windows,而OSX和Linux上也都有相同的漏洞。這個漏洞會影響FireFox、IE 9和Safari 6。Oracle一向會及時的提供Java漏洞修補程式,也終於在近日推出更新版本修補此一漏洞,詳細資訊請參考下列網址: https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
Mac Java的背景知識
Java是Sun在1990年代初期所開發的。這個編程環境是用來幫助跨越各種不同的作業系統,從大型主機到嵌入式裝置的作業系統。Java甚至被當成是微軟在1996年所推出的ActiveX的替代控制作法,以延伸微軟COM和OLE跟作業系統的通訊。在2000年。Windows用ActiveX來取代JavaScript作為自己瀏覽器的API。這個外掛API是為Netscape所開發。JavaScript並不是Java,但Netscape認為Java代表分散式作業系統的客戶端/伺服器解決方案。微軟Internet Explorer 5.5的ActiveX將作業系統的應用程式帶到網路上,微軟希望他們的應用程式可以在網路上被廣泛採用,以增加Windows的影響力。
微軟對於將ActiveX擴展到他們瀏覽器的這項作法的說詞是為了要加強安全性。這時正好微軟也取消Windows Internet Name Service(WINS),而用DNS來提供名稱階層架構,也就是今天認證的基礎。ActiveX看起來是WINS的替代策略,讓微軟可以用來主宰網際網路。但是卻讓網路犯罪份子在網路上利用ActiveX來控制Windows應用程式。ActiveX並沒有讓Windows成為網際網路上的主導者,同時ActiveX也沒有提高安全性。
在2005年,Android利用Java建立Java執行環境(JRE)。Sun在2006年11月將Java的原始碼用GPL v2開放出去。但是唯一的例外就是不包括行動應用程式。所以Google開發自己的Java虛擬機器(JVM)技術,稱為Dalvik,以避開編程介面的限制。並且將JRE的堆疊模式轉變成Java虛擬機器(JVM)的暫存器型態。
接著,Sun在2010年被Oracle所收購。Apple並沒有替Java提供移除安裝程式,使用Java的程式可能不會取消檢查Apple的Java控制面板來直接使用Java。而許多這樣的程式也不會去注意到Oracle Java 7 Update 6的控制面板,更不會接受可用的Java 7環境位置。這些Java的問題需要一點時間來解決,但是Apple已經清楚的表達了他們的意思,不會再自動安裝Java,也不會支援Java 7。
Apple應用程式的規則
在Mac App Store審核指南規則2.24指出:
「應用程式使用不適用或需額外安裝的技術(例如Java、Rosetta)將會被拒絕」
控制應用程式的更新,可被允許的元資料和捷徑、禁止未經使用者同意就自動啟動和禁止下載其他應用程式或修改 – 所有的這一切都是為了提高安全性的目標。但是如果還是允許Java的話,執行這些安全措施並不實際,也會讓網路犯罪份子更加容易攻擊成功。
