Oracle выпустила патч для исправления бреши в системе безопасности в ответ на срочную рекомендацию Министерства внутренней безопасности США пользователям компьютеров отключить подключаемый модуль Java. Но достаточно ли этого и почему в последнее время Java получает столько плохих отзывов в прессе?
Способность Java запускать один и тот же код на нескольких платформах, функция «писать один раз, запускать много» является большим преимуществом для разработчиков, но также дает хакерам такое же преимущество. Брешь в системе безопасности, обнаруженная на прошлой неделе, привела к публикации на веб-сайте Группы по обеспечению готовности к компьютерным чрезвычайным ситуациям (CERT) национальной безопасности, в которой говорилось:
«Java 7 Update 10 и более ранние версии содержат неопределенную уязвимость, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код в уязвимой системе».
В частности, удаленный злоумышленник может убедить веб-пользователя посетить специально созданную веб-страницу, которая затем может провести атаку. Атакующий код может заразить как хорошо известный, легитимный, так и менее надежный сайт, а затем организовать атаку оттуда. Поскольку известных практических решений нет, пользователям было рекомендовано отключить Java в веб-браузерах.
Oracle быстро отреагировал выпуском Java 7 Update 11, которое было выпущено поздно в воскресенье, и изменило настройки безопасности по умолчанию, так что неподписанные Java-апплеты или веб-приложения теперь запрашивают разрешение на запуск первыми, в отличие от потенциально опасного предыдущего поведения, при котором они могли работать. без разрешения.
Согласно примечаниям к выпуску обновления:
Уровень безопасности по умолчанию для Java-апплетов и веб-приложений был увеличен с «Среднего» до «Высокого». Это влияет на условия, при которых могут работать неподписанные (изолированные) веб-приложения Java. Раньше, если у вас была установлена последняя версия защищенной версии Java, апплеты и веб-приложения продолжали работать, как всегда. При установке «Высокий» пользователь всегда получает предупреждение перед запуском любого неподписанного приложения, чтобы предотвратить тихую эксплуатацию.
CERT, однако, отреагировал обновлением своего примечания об уязвимостях, указав:
Если нет крайней необходимости запускать Java в веб-браузерах, отключите его … даже после обновления до 7u11. Это поможет уменьшить другие уязвимости Java, которые могут быть обнаружены в будущем.
Инструкции по отключению Java представлены на главном веб-сайте Java и используются функции, представленные в Java 7 Update 10. Описанный как «новая функция безопасности», он предоставляет возможность отключить Java во всех браузерах через панель управления Java.
Включение / отключение опции в Windows 8
Также есть инструкции по удалению Java в определенных браузерах.
Нужна ли Java обычному пользователю?
Совет состоит в том, что большинство пользователей этого не делают, хотя некоторые компании используют его в программном обеспечении для совместной работы GoToMeeting, а это требуется для некоторых игр. Использование апплетов значительно сократилось с первых дней Интернета. Даже веб-сайты, использующие апплет, обычно предоставляют альтернативный способ работы.
Поскольку теперь его относительно легко включать и выключать, вероятно, лучший совет пользователю — отключить его, а затем подождать, чтобы увидеть, какие приложения борются за его восстановление.
Для программиста ситуация совсем иная. На стороне клиента Java может использоваться нечасто, но на сервере она широко используется. Конечно, текущая уязвимость не оказывает никакого влияния на серверную Java-версию Java, однако она ставит Java под сомнение.
Что удивительно, так это количество раз, когда в средствах массовой информации сообщалось о недостатках безопасности с тех пор, как Oracle взяла на себя управление языком. У Java всегда были недостатки в безопасности, но внезапно это стало главной проблемой для всех, включая Национальную безопасность.
Можно почти заключить, что существует организованная кампания против языка.
Учитывая, что Oracle пытается вернуть Java, принятую на стороне клиента, с введением перезапущенной JavaFX, тот факт, что так много угроз безопасности на стороне клиента попадает в заголовки новостей, является хорошим материалом для сторонника теории заговора.