Видео: Lab 17 Introduction to Swingbench and Oracle Database (Октября 2024)
В свете недавних уязвимостей, обнаруженных в Java, и сохраняющихся опасений по поводу общей безопасности технологии, Oracle снова пообещала, что она исправит проблемы.
Oracle уже внесла некоторые изменения в Java и работает над новыми инициативами по повышению безопасности, написал в пятницу в своем блоге Нандини Рамани, руководитель отдела разработки Java-приложений в Oracle. После серии громких веб-атак, направленных на сотрудников из разных отраслей, компания Orace обязалась решить основные проблемы в кроссплатформенной среде.
Два изменения, изложенные в посте Рамани, включая обновления модели безопасности апплета и поведение плагина Java по умолчанию, уже действуют. Другие изменения, такие как то, как приложения Java обрабатывают отозванные сертификаты, реализуют локальные политики безопасности для создания пользовательских правил и ограничивают библиотеки, доступные для серверных приложений, в настоящее время находятся в разработке. Рамани не указал, когда будут доступны эти обновления.
А как насчет песочницы?
«В целом, это хорошая вещь для Java, но эти изменения не решают основную проблему с самой песочницей Java», - сказал HD Moore, главный исследователь Rapid7 и создатель инфраструктуры тестирования на проникновение Metasploit. по электронной почте SecurityWatch.
Песочница Java - это защищенная область, в которой выполняются приложения, отдельно от базовой системы. Предполагается, что песочница будет перехватывать вредоносные исполняемые файлы, прежде чем они смогут захватить компьютер или перехватить запущенные процессы. Однако злоумышленники успешно использовали несколько уязвимостей, чтобы обойти «песочницу» Java.
«До тех пор, пока Oracle не внедрит изолированную программную среду на уровне процессов, такую как используемая в Adobe Reader и Google Chrome, вредоносный апплет с действительной подписью все еще может злоупотреблять недостатками безопасности JRE, чтобы вырваться из песочницы и поставить под угрозу систему», - сказал Мур.
Изменения до сих пор
Oracle недавно обновила модель безопасности, чтобы пользователи могли запускать подписанные апплеты без предоставления дополнительных привилегий и блокировать запуск неподписанных апплетов. Это означает, что просто подписывание апплета больше не дает программе возможность вырваться из песочницы.
«Это хорошо для безопасности», - сказал Мур.
Еще одна полезная вещь - тот факт, что настройки безопасности подключаемого модуля по умолчанию теперь предотвращают выполнение неподписанных или самозаверяющих апплетов. По словам Мура, это изменение позволяет вносить в белый список определенные веб-сайты и централизованно управлять политиками безопасности Java на предприятии.
И скоро...
В настоящее время Java поддерживает списки отзыва сертификатов (CRL) и сетевой протокол статуса сертификата (OCSP), чтобы проверить, действителен ли еще подписанный сертификат. Однако, поскольку проверка не выполняется по умолчанию, даже если сертификат был отозван, злоумышленники смогут продолжать использовать эту плохую сертификацию. Oracle планирует обновление, которое включит проверку по умолчанию.
Предстоящая локальная политика безопасности дает администраторам дополнительный контроль над параметрами политики, например, позволяет системным администраторам определять, на каких компьютерах запускать апплеты Java, а какие - нет.
По словам Рамани, несмотря на то, что все недавние испытания Java затронули апплеты, работающие в веб-браузере, Oracle также изучает способы обеспечения безопасности серверных приложений. Одним из изменений будет удаление определенных библиотек, которые не нужны на стороне сервера, чтобы уменьшить поверхность атаки.
Новое расписание для обновлений
Oracle также собирается обновлять Java немного чаще. На данный момент Java обновляется три раза в год, следуя расписанию обновлений, отдельному от всех других продуктов Oracle. По словам Рамани, ежеквартальное обновление Critical Patch Update будет включать исправления Java. Oracle по-прежнему будет выпускать экстренные обновления «вне диапазона», когда это необходимо.
Учитывая, что процессор уже требует значительных затрат времени для администраторов, добавление Java к миксу просто делает его еще более масштабным. С другой стороны, это означает, что администраторы не должны помнить отдельный график обновления Java.
