首页 > 基础设施 > 正文

如何防范最新的Java平台漏洞?

2012-11-08 14:42:43  来源:比特网

摘要:你可知道,Java平台很有可能会为病毒、木马大开方便之门。就如何防范最新的Java平台漏洞这一话题,本文为读者提供了一些参考方案。
关键词: Java

    你的企业在使用Java平台吗?你可知道,Java平台很有可能会为病毒、木马大开方便之门。就如何防范最新的Java平台漏洞这一话题,本文为读者提供了一些参考方案。


    作为一种得到广泛应用的编程语言,针对Java平台的攻击呈现出逐渐抬头的迹象。很多安全研究人员就此提出了自己的方法,以便用户保护自己的计算机,以防范针对Java平台的攻击。安全研究人员希望在甲骨文没有提供官方补丁的前提下,用户们能够通过这些方法降低系统遭到攻击的风险。


    因噎废食不可取


    未经授权执行应用是目前Java平台上最常出现的漏洞类型。今年9月底,安全专家Adam Gowdiak发现了存在于Java 5、Java 6以及Java 7平台上的一个漏洞。他表示,通过此漏洞,黑客可在超过10亿台装有Java的 Mac和PC机上安装恶意软件与病毒。而在此前的8月底,安全公司FireEye的研究人员也曾宣布发现了Java平台的安全漏洞。由于这一漏洞,用户只要通过启用了Java插件的Web浏览器访问网页,就会被悄悄地执行内嵌在其中的恶意代码。


    甲骨文10月中旬发布的Java 7 Update 9和Java 6 Update 37升级补丁声称修复了一些漏洞,但是,未来是不是还会有新的漏洞被曝光?一旦出现新的漏洞,而又暂时没有补丁程序去修补,用户应该怎么办?


    为了保护系统、避免针对安全漏洞的攻击,在大多数情况下,安全专业人员都会建议用户卸载Java,或者至少禁用浏览器中的Java Web插件。


    美国计算机紧急响应小组(US-CERT)曾经发布了一份公告,详细介绍了如何禁用安装在几款最流行的浏览器中Java插件的具体方法。


    这对于缓解Java新安全漏洞风险无疑是最有效的方法了。不过这种做法颇有些因噎废食的感觉。对于那些依赖Java平台Web应用程序的企业而言,不可能因为一些安全漏洞就停掉手上运营着的重要业务。[page]
    反病毒软件厂商Sophos高级安全顾问Chester Wisniewski认为:“大多数消费者也许根本就不需要Java平台。但是许多企业用户的某些应用确实需要用到Java,比如GoTo Meeting和WebEx.”


    分权限访问很关键


    安全厂商Qualys的首席技术官Wolfgang Kandek提出了另一个解决方案,该方法的主旨是利用IE浏览器中基于区域(Zone)的安全机制,以限制网站载入Java应用的权限。


    Kandek近日在博文中表示,用户们可以首先在互联网(Internet Zone)中禁止使用Java(修改注册表,将HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3的键值1C00设成0),然后允许Java只在信任区域(Trusted Zone)中加入白名单的网站上才能运行。


    与此同时,谷歌Chrome和Mozilla火狐(Firefox)的用户启用点击播放(click to play)功能后,也能得到类似的效果。点击播放功能默认会阻止基于插件的内容载入,并要求用户确认。这项功能同时还设立了白名单功能。


    Chrome一直以来就支持点击播放功能,我们可以从高级设置界面来启用。不过在火狐中,这项功能仍在不断改进之中,只有在“about:config”界面中将“plugins.click_to_play flag(火狐14及更高版本才有该设置)”切换成“true”,才能激活该功能。


    反病毒软件厂商ESET的安全宣传官Stephen Cobb认为:“最合适的安全策略是因人而宜的。这既要看对Java平台的应用程度,还要看企业现有的安全状况。单独将某一种策略普适于所有人显得有些不切实际。”


第三十四届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhangyexi

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。