修补程序后,US-CERT继续呼吁禁用Java插件

甚至在周一甲骨文修补了关键的Java漏洞之后,美国计算机应急准备小组(US-CERT)仍继续敦促用户禁用Java浏览器插件。

甚至在周一甲骨文修补了关键的Java漏洞之后,美国计算机应急准备小组(US-CERT)仍继续敦促用户禁用Java浏览器插件。

现在是时候从计算机中清除Java了

“由于此漏洞的数量和严重性以及以前的Java漏洞,建议在Web浏览器中暂时禁用Java,”美国CERT在周一(第二天) Oracle提供了“带外”功能 或紧急更新。

面对未打补丁的漏洞的主动利用,禁用插件(甚至停止使用特定浏览器)的调用并不罕见,但在发布补丁程序后继续执行是不寻常的。

但是,一对安全专家,包括以发现Java漏洞的许多人而闻名的研究人员表示,US-CERT的举动是合理的。

安全 Explorations的创始人兼首席执行官Adam Gowdiak在星期二晚的一封电子邮件中说:“禁用Java似乎是减轻与已确认但尚未修复的缺陷相关的风险的合理步骤。”

Gowdiak指的是他已经报告给Oracle的其他Java漏洞,其中包括他被告知将在2月19日更新中修复的两个漏洞。

总部位于旧金山的开发商Coverity的CTO Andy Chou与Gowdiak达成了共识,该公司的产品会扫描其他软件以查找潜在的安全漏洞。

周在接受电子邮件采访时说:“大多数用户不需要访问使用Java小程序的站点。” “对他们来说,Java只是死代码。[因此]对于许多用户来说,关闭他们不需要的功能似乎是合理的。”

美国国土安全部下属的US-CERT提出的建议具有特别的意义:该组织是公共和私营部门的威胁交换所和安全协调员。

Gowdiak指出,US-CERT的建议不仅可以基于公开信息,还可以基于政府机密信息。

正如Chou所说,对于许多人来说,禁用浏览器中的Java插件可能是解决方案,但是某些人(尤其是企业工作人员,但不仅限于此)依赖Java Web小程序。

那么他们的举动是什么?

Gowdiak和Chou都建议用户运行Firefox或Chrome,这两个都提供了被称为“点击播放”的功能,该功能要求用户明确授权插件的执行。

在Chrome中,该设置位于“隐私”小节中“设置”(Windows)或“首选项”(OS X)的“高级”部分下。用户必须单击“内容设置”按钮,然后滚动以查看“插件”列表。

“那些每天需要Java插件的人可能会考虑采用某种形式的点击播放技术,以允许灵活配置允许插件在浏览器中运行的条件。”古迪亚克说。

Java 7是可以通过最新漏洞利用的版本,它具有一个选项,可以让用户完全禁用该插件。周日的更新还修改了Java的安全设置,因此它现在拒绝未经用户批准而运行未签名的小程序。

Chou敦促用户在浏览潜在风险较高的网站时要谨慎,尽管这可能很困难:漏洞利用通常托管在受到黑客入侵的合法网站上。

Java越来越受到攻击者的攻击,部分原因是它是一种跨平台技术,不仅可以在Windows PC上使用,而且可以在Mac上使用。据俄罗斯杀毒软件供应商卡巴斯基(Kaspersky)称,2012年第三季度所有攻击中有一半以上利用Java漏洞。微软说的差不多 一年多以前.

过去,其他公司的软件也受到了类似的攻击,特别是Adobe的Reader,这是该公司在过去几年中越来越重视安全性的一个因素。 Oracle可能需要做同样的事情来证明Java足够安全可以使用。

当被问及US-CERT建议是否对Java的生存和持续使用产生长期影响时,Gowdiak说:“这是对[Oracle]的警钟。”

Chou警告说:“这不是Java的灭亡。” “它不会很快消失,尤其是在服务器端和台式机应用程序上。我不知道Oracle是否能够将Java转移到更安全的路径上。[但是]这需要时间,即使组织是认真的。”

但是,其他安全专家也准备放弃使用Java。在一个 鸣叫 上周,nCircle 安全的安全运营总监Andrew Storms简单地说:“只需卸载Java。”

格雷格·凯泽(Gregg Keizer)报道了Microsoft,安全问题,苹果,Web浏览器和Computerworld的常规技术最新新闻。在Twitter上关注Gregg,网址为: @gkeizer, 上 Google+ 或订阅 Gregg的RSS feed。他的电子邮件地址是 [email protected].

看到 格雷格·凯泽(Gregg Keizer)在Computerworld.com上提供的更多内容.

阅读有关恶意软件和漏洞的更多信息 在Computerworld的恶意软件和漏洞主题中心中。

这个故事“ US-CERT补丁发布后,继续呼吁禁用Java插件”最初是由 电脑世界.

有关:

版权© 2013 IDG通讯,Inc.