Video: What’s New in Java Security? (Nobyembre 2024)
Kaugnay ng mga kamakailang kahinaan na natagpuan sa Java at patuloy na mga alalahanin tungkol sa pangkalahatang seguridad ng teknolohiya, ipinangako ni Oracle na muli - ay aayusin nito ang mga problema.
Ang Oracle ay nakagawa na ng ilang mga pagbabago sa Java at nagtatrabaho sa mga bagong hakbangin upang mapagbuti ang seguridad, si Nandini Ramani, pinuno ng pag-unlad ng Java sa Oracle, ay nagsulat sa isang post sa blog noong Biyernes. Matapos ang isang serye ng mga atake na may mataas na profile na naka-target sa mga empleyado sa iba't ibang mga industriya, nangako si Orace na tugunan ang mga pinagbabatayan na mga isyu sa kapaligiran ng cross-platform.
Dalawa sa mga pagbabagong naipalabas sa post ni Ramani, kabilang ang mga pag-update sa modelo ng seguridad ng applet at ang default na pag-uugali ng Java plugin, ay nabubuhay na. Ang iba ay nagbabago, tulad ng kung paano pinangangasiwaan ng mga aplikasyon ng Java ang mga tinanggal na mga sertipiko, pagpapatupad ng mga lokal na patakaran sa seguridad upang lumikha ng mga pasadyang mga patakaran, at paghihigpit sa mga aklatan na magagamit sa mga aplikasyon ng server, ay kasalukuyang nasa pagbuo. Hindi ipinahayag ni Ramani kung kailan magagamit ang mga update na ito.
Ano ang Tungkol sa Sandbox?
"Kinuha bilang isang buo, ito ay magandang bagay para sa Java, ngunit ang mga pagbabagong ito ay hindi malulutas ang pinagbabatayan na problema sa Java sandbox mismo, " HD Moore, punong opisyal ng pananaliksik ng Rapid7 at tagalikha ng Metasploit na pagtagos sa pagsubok ng pagtagos, sinabi sa isang email sa SecurityWatch.
Ang Java sandbox ay isang protektadong lugar kung saan naisakatuparan ang mga aplikasyon, hiwalay mula sa pinagbabatayan na sistema. Ang sandbox ay dapat na mahuli ang mga nakakahamak na ehekutibo bago nila makuha ang proseso ng makina o pag-hijack. Gayunpaman, matagumpay na sinamantala ng mga umaatake ang ilang mga kahinaan upang ma-bypass ang Java sandbox.
"Hanggang sa ipinatupad ni Oracle ang proseso ng lebel ng sandboxing, tulad ng ginamit ng Adobe Reader at Google Chrome, ang isang nakakahamak na applet na may isang wastong pirma ay maaari pa ring abusuhin ang mga flaws ng seguridad ng JRE upang makatakas sa sandbox at kompromiso ang system, " sabi ni Moore.
Ang mga Pagbabago Sa Malayo
In-update ng Oracle ang modelo ng seguridad kamakailan upang ang mga gumagamit ay maaaring magpatakbo ng mga naka-sign applet na hindi nagbibigay ng karagdagang mga pribilehiyo at hadlangan ang mga hindi naka -ign na applet mula sa pagpapatakbo. Nangangahulugan ito na ang pag-sign ng isang applet hindi na awtomatikong nagbibigay sa programa ng kakayahang masira sa sandbox.
"Ito ay isang magandang bagay para sa seguridad, " sinabi ni Moore.
Ang isa pang magandang bagay ay ang katotohanan ang default na mga setting ng seguridad ng plug-in ngayon ay pinipigilan ang hindi naka -ignign o naka-sign na mga applet mula sa pagpapatupad. Ginagawa ng pagbabago na posible sa whitelist na mga tukoy na Web site at sentral na namamahala sa mga patakaran sa seguridad ng Java sa enterprise, sinabi ni Moore.
At Malapit na …
Sa kasalukuyan, sinusuportahan ng Java ang parehong mga sertipiko ng Revocation Lists (CRL) at Online Certificate Status Protocol (OCSP) upang mapatunayan kung may bisa pa ang isang naka-sign na sertipiko. Gayunpaman, dahil ang tseke ay hindi ginanap sa pamamagitan ng default, kahit na ang isang sertipiko ay tinanggal, ang mga umaatake ay maaaring patuloy na gamitin ang masamang sertipikasyon. Ang Oracle ay nagpaplano ng isang pag-update na maaaring paganahin ang pagsuri sa default.
Ang paparating na Patakaran sa Ligtas na Ligtas ay nagbibigay sa mga administrador ng karagdagang kontrol sa mga setting ng patakaran, tulad ng pagpapaalam sa mga administrator ng system na tukuyin kung aling mga computer ang magpapatakbo ng mga applet ng Java at kung aling mga computer ang hindi magagawa.
Kahit na ang lahat ng mga kamakailang mga pagsubok sa Java ay nakakaapekto sa mga applet na tumatakbo sa Web browser, ang Oracle ay nagsasaliksik din ng mga paraan upang matiyak na mananatiling ligtas ang mga aplikasyon sa server, sinabi ni Ramani. Ang isang pagbabago ay aalisin ang ilang mga aklatan na hindi kinakailangan sa server-side upang mabawasan ang pag-atake sa ibabaw.
Bagong Iskedyul para sa Mga Update
Oracle ay din pagpunta upang i-update ang Java nang mas madalas. Sa ngayon, ang Java ay na-update nang tatlong beses sa isang taon, kasunod ng isang hiwalay na iskedyul ng pag-update mula sa lahat ng iba pang mga produkto ng Oracle. Ang quarterly Critical Patch Update ay magsisimula kasama ang pag-aayos ng Java sa Oktubre, sinabi ni Ramani. Ang Oracle ay ilalabas pa rin ang mga pag-update sa emergency, "out of band, " kung kinakailangan.
Isinasaalang-alang na ang CPU ay isa nang masigasig na pagsisikap ng mga administrador, ang pagdaragdag ng Java sa halo ay gumagawa lamang para sa mas masigasig na pag-update. Sa kabilang banda, nangangahulugan ito na hindi kailangang tandaan ng mga administrador ang hiwalay na iskedyul ng pag-update ng Java.
