鉴于Java中最近发现的漏洞以及对该技术的整体安全性的持续关注,Oracle再次承诺将解决问题。
甲骨文公司Java开发主管Nandini Ramani在周五的博客中写道,甲骨文已经对Java进行了一些更改,并且正在研究提高安全性的新计划。 在针对各行各业的员工进行了一系列备受瞩目的基于Web的攻击之后,Orace承诺解决跨平台环境中的潜在问题。
Ramani的帖子中概述了两个更改,其中包括对applet安全模型的更新和Java插件的默认行为。 目前正在开发其他更改,例如Java应用程序如何处理已吊销的证书,实现本地安全策略以创建自定义规则以及限制服务器端应用程序可用的库。 Ramani没有指出这些更新何时可用。
那沙盒呢?
Rapid7首席研究官,Metasploit渗透测试框架的创建者HD Moore表示:“总的来说,这对Java来说是一件好事,但是这些更改并不能解决Java沙箱本身的潜在问题。”通过电子邮件发送给SecurityWatch。
Java沙箱是执行应用程序的受保护区域,与基础系统分开。 沙箱应该能够在恶意可执行文件接管计算机或劫持正在运行的进程之前捕获它们。 但是,攻击者已经成功利用了多个漏洞来绕过Java沙箱。
“在Oracle实施流程级沙箱(如Adobe Reader和Google Chrome使用的沙箱之前,具有有效签名的恶意小程序仍然可以滥用JRE安全漏洞来逃避沙箱并损害系统,” Moore说。
迄今为止的变化
Oracle最近更新了安全模型,因此用户可以在不授予其他特权的情况下运行已签名的小程序,并阻止未签名的小程序运行。 这意味着仅对小程序进行签名就不再自动赋予程序脱离沙箱的能力。
摩尔说:“这对安全是一件好事。”
另一个好处是,默认的插件安全设置现在可以阻止执行未签名或自签名的applet。 Moore指出,现在的更改使将特定网站列入白名单并集中管理企业中的Java安全策略成为可能。
即将推出...
当前,Java支持证书吊销列表(CRL)和在线证书状态协议(OCSP)来验证签名证书是否仍然有效。 但是,由于默认情况下不执行检查,因此即使证书已被吊销,攻击者也可以继续使用该错误的证书。 Oracle正在计划一个更新,它将默认启用检查。
即将发布的本地安全策略为管理员提供了对策略设置的附加控制,例如让系统管理员定义哪些计算机可以运行Java applet,哪些计算机不能运行。
Ramani说,尽管Java的所有最新试验都影响了在Web浏览器中运行的applet,但是Oracle也在探索确保服务器端应用程序保持安全的方法。 一种更改是删除服务器端不需要的某些库以减少攻击面。
新的更新时间表
Oracle也将更频繁地更新Java。 目前,按照与其他所有Oracle产品不同的更新时间表,每年对Java进行三次更新。 Ramani说,季度关键补丁更新将从10月开始包括Java修复。 Oracle仍将在必要时“带外”发布紧急更新。
考虑到CPU对管理员来说已经是费时的工作,因此将Java添加到混合中将带来更大的更新。 另一方面,这意味着管理员不必记住Java的单独更新时间表。
