研究人员：Java的安全问题很快就不可能得到解决

今年年初以来，黑客一直在利用Java中的漏洞对微软，苹果，Facebook和Twitter等公司以及家庭用户进行一系列攻击。甲骨文已经努力对这些威胁作出更快的反应，并加强其Java软件，但是安全专家表示，这些攻击不可能很快就会放松。就在本周，安全研究人员说最近发现的MiniDuke背后的黑客cyberespionage活动使用Java和Internet Explorer 8的基于Web的攻击以及Adobe Reader攻击，以破坏其目标。上个月，MiniDuke恶意软件感染了来自23个国家的政府组织，研究机构，智囊团和私营公司的59台计算机。

MiniDuke使用的Java漏洞针对的是甲骨文在卡巴斯基实验室在一篇博客文章中表示。在发布补丁之前公开或利用的漏洞称为零日漏洞，其中一些已在今年针对Java的攻击中使用。

[更多阅读：如何从Windows PC中删除恶意软件] <2>在2月份，来自微软，苹果，Facebook和Twitter的软件工程师在访问了一个使用Java零日漏洞利用的iOS开发者的社区网站后，他们的工作笔记本电脑感染了恶意软件。 “安全分类帐”报告称，这些违规行为是由多个网站发起的更大的“漏洞”攻击造成的，这些攻击也影响到其他行业的政府机构和公司。开始一年，并加速发布预定补丁。它还将Java applets的安全控制的默认设置提升为高，从而阻止基于Web的Java应用程序在没有用户确认的情况下在内部浏览器中执行。

安全专家说这是一个好的开始，但认为应该做更多的事情来增加更新的采用率以及改善企业环境中Java安全控制的管理。更重要的是，他们表示，甲骨文应彻底审查其Java代码，以确定并解决基本的安全问题。他们认为，如果Oracle多年来一直听取安全行业的警告，那么Java今天会更安全。“”很难说过去几年Oracle在内部发生了什么，但基于我感受到的外部印象他们本可以早日做出反应，“咨询公司Risk Based Security的首席研究官Carsten Eiram通过电子邮件表示。 “我不确定甲骨文是否真的认真预测了Java将成为下一个主要目标。”

甲骨文不太可能阻止最近发生的攻击，他说，但如果它早些行动起来，它会处于更好的位置以确保其代码的安全性并增加更多层次

“我认为，Java安全性的当前状态是由于Sun在仍然拥有它时非常强烈地推动了Java，”全球研究主管Costin Raiu说。和卡巴斯基实验室的分析团队，通过电子邮件。 “在Oracle购买Java后，可能对此项目没有多少兴趣。”根据Java.com的信息，甲骨文在2010年收购Sun Microsystems时收购了Java。该软件安装在全球11亿台台式计算机上。其广泛的部署和跨平台特性使其成为黑客有吸引力的目标。波兰一家漏洞研究公司Security Explorations的研究人员发现并报告了甲骨文，IBM和苹果公司在过去一年中维护的Java运行时中的55个漏洞，其中36个漏洞位于Oracle的版本中。

“2012年4月，我们向Oracle报告了30个安全问题，影响Java SE 7，”Security Explorations创始人Adam Gowdiak通过电子邮件表示。 “这几乎与Flashback Mac OS木马被发现在同一时间。 “卡巴斯基实验室报告说，在去年的任何时候，三分之一的用户正在运行一个Java版本，该版本容易受到以下五个主要漏洞攻击中的一个攻击：黑客的攻击。在高峰时段，超过60％的用户安装了易受攻击的Java版本。Eiram说，提供类似于Chrome，Flash Player，Adobe Reader和其他软件的静默自动更新机制可能对消费者有所帮助。然而，企业可能会禁用这些功能，他说。从

年12月发布的Java 7 Update 10开始，Oracle在Java控制面板中提供了新的选项，允许用户从浏览器中禁用Java插件或强制Java在Java applet执行之前请求确认。自Java 7 Update 11以来，此机制的默认设置已设置为高，从而防止未经签名的Java Applet自动运行，而无需用户确认。

“我相信Java中的新安全功能表明Oracle正朝着正确的方向发展，“Qualys的销售漏洞管理和策略合规产品的首席技术官Wolfgang Kandek说。让Java更具可配置性将有助于IT管理员以符合其组织要求的方式部署它。

“我会欢迎Java的白名单功能，即禁止除批准的站点之外的所有站点使用小程序机制， “Kandek说。 “与此同时，Java配置功能的集中管理，即通过Windows GPO [组策略]应该得到改进。”

Kandek认为，与其他软件公司相比，甲骨文在加强Java对抗攻击方面面临更大的挑战。他们自己的产品。 “Java是一种完整的编程语言，需要能够执行全部的行动……包括低级别的操作系统任务。”即使这样，Eiram和Gowdiak都表示Oracle需要提高其Java代码的质量从安全的角度来看，因为现在发现漏洞相对容易。“”软件供应商有责任提供具有一定质量的安全代码，广泛部署的软件（如Flash Player或Java）的供应商根本没有理由“ Eiram说。 “Adobe意识到这一点，并为改进他们的代码做出了认真而成功的努力。微软在很多年前也做过同样的事情。 “Oracle有迹象表明Oracle的开发人员不了解Java的安全缺陷，代码安全评估根本没有完成，或者不够全面，Gowdiak说。他表示，安全研究所发现的许多问题都违反了Oracle自己的Java安全编码准则，“他说，”我们发现了很多漏洞，在对漏洞进行全面的安全审查之前，该漏洞应该已经被公司清除了。 “Gowdiak说，”Oracle应该为Java实施稳定的安全开发生命周期，以消除基本漏洞并提高代码的成熟度，“Eiram说。 SDL是一个软件开发过程，强调代码安全评审和安全开发实践以减少漏洞。最好的方法是通过像微软那样举办内部培训课程来确保开发人员得到适当的培训，并检查现有代码在外部审计员的帮助下，Eiram说。 “甲骨文可能还会聘请一些熟练的研究人员，他们正在查看他们的代码。”

甲骨文公司表示，它将把Java的修补周期从4个月加速到2个月，并承诺更好地与Java安全问题进行沟通，所有受众，包括消费者，IT专业人员，新闻界和安全研究人员。 Java安全更新与Oracle缺乏安全通信之间的长时间间隔一直受到批评。

“看看他们是否会兑现他们与公众和媒体进行更好沟通的承诺会很有意思。过去，他们在我看来是极端傲慢的，拒绝评论报告的漏洞，甚至是它们的有效性，“Eiram说。”不评论安全问题的政策，甲骨文表示有必要保护用户，导致用户不知道是否外部报告的威胁是真实的，或者甲骨文对他们做了什么，他说。 “这种安全性和响应能力的方法属于上一个千年。”

安全专家并不指望甲骨文在不久的将来以一种能够阻止确定的攻击者的方式解决所有问题。“

我没有预见到Eiram说，Java的安全问题很快就会结束。 “微软和Adobe都花了一段时间才把这条船转过来，他们的产品不时还会遭受零日攻击。 Java有很多可以提供攻击者的地方，所以我希望他们现在能够继续关注它。“

”我不会很快期待解决方案，“Kandek说。 “IT管理员应该花时间去了解他们在桌面上需要Java的位置以及他们可以限制的地方。”

安全专家同意，在不需要Java的地方，至少在浏览器级别应该禁用Java。许多用户甚至不知道他们的计算机上安装了Java。 Raiu表示，这可能就是为什么Google和Mozilla选择在Chrome和Firefox中限制Java插件的原因。

Apple还将Mac OS X上易受攻击的Java插件版本列入黑名单，而且Windows有一个注册表设置，可以限制Java在Java中的使用Internet Explorer到可信网站

尽管许多家庭用户在他们的浏览器中不需要Java，但世界某些地区的人们可能会这样做。例如，在丹麦，网上银行和政府网站使用称为NemID的登录机制，需要Java支持，Eiram说。在其他国家或地区可能存在类似的情况。

在这些情况下，使用Chrome和Firefox中的点击播放功能或IE中的区域机制可用于让Java内容仅从某些网站加载。一个技术性较差的解决方案是使用一个浏览器，禁用Java来执行常规任务，另一个浏览器启用Java，以支持需要Java支持的受信任网站。

限制在企业环境中使用Java更加困难。许多公司使用需要运行Java浏览器插件的内部和外部基于Web的应用程序。像点击播放这样的功能并不适用于策略需要集中管理和实施的企业环境。“使Java更加可配置将有助于IT管理员以适合组织需求的方式部署Java，”Kandek说。 “更高的默认安全级别以及与浏览器的轻松断开是一个好的开始，但我相信我们需要提高浏览器或Java插件的白名单功能。”

目前，IE中的Zone机制为企业环境中的Java插件提供了最具可扩展性的管理功能，Kandek说。最近发生的基于Java的攻击浪潮，包括导致微软，Facebook，Apple和Twitter安全漏洞的攻击可能已经损害了Java的信誉，Eiram说。但是如果企业对Java的安全性和安全性有信心，“他们一直没有听从研究人员提供的丰富警告，”他说。“不仅仅是Java的声誉可能已经被破坏。 Gowdiak表示，很可能有些公司会问Java的安全性差是否反映在其他Oracle产品中。Eiram希望最近的攻击会导致企业重新评估他们是否需要在他们的环境中使用Java。

正在迁移到纯粹的基于HTML5的应用程序，并从Flash，Silverlight和Java等插件中移除，“Kandek说。 “Java将继续在服务器端增长，其强大的处理能力是绝对需要的。”