Video: Сергей Клименков — Java-сертификация: что это такое и зачем нужно (Lokakuu 2024)
Ottaen huomioon Java-ohjelmasta viime aikoina havaitut haavoittuvuudet ja jatkuvat huolet tekniikan yleiseen tietoturvaan, Oracle on luvannut jälleen kerran korjata ongelmat.
Oracle on jo tehnyt joitain muutoksia Java-ohjelmaan ja työskentelee parhaillaan uusia aloitteita turvallisuuden parantamiseksi, kirjoitti perjantaina blogin kirjoittamiseen Oraclen Java-kehitystyön päällikkö Nandini Ramani. Sen jälkeen, kun sarjan korkean profiilin verkkopohjaisia hyökkäyksiä oli kohdistettu eri toimialojen työntekijöille, Orace sitoutui käsittelemään taustalla olevia aiheita monialustaympäristössä.
Kaksi Ramanin viestissä hahmotelluista muutoksista, mukaan lukien päivitykset sovelman suojausmalliin ja Java-laajennuksen oletuskäyttäytymiseen, ovat jo käynnissä. Muita muutoksia, kuten se, miten Java-sovellukset käsittelevät peruutettuja varmenteita, paikallisten tietoturvakäytäntöjen toteuttaminen mukautettujen sääntöjen luomiseksi ja palvelinpuolen sovellusten käytettävissä olevien kirjastojen rajoittaminen, ovat parhaillaan kehitteillä. Ramani ei ilmoittanut, milloin nämä päivitykset ovat saatavilla.
Entä hiekkalaatikko?
"Kaiken kaikkiaan tämä on Javalle hyvä asia, mutta nämä muutokset eivät ratkaise itse Java-hiekkalaatikon taustalla olevaa ongelmaa", HD Moore, Rapid7: n päätutkija ja Metasploit-levinneisyystestausjärjestelmän luoja, sanoi. sähköpostitse SecurityWatchille.
Java-hiekkalaatikko on suojattu alue, jolla sovellukset suoritetaan, erillään alla olevasta järjestelmästä. Hiekkalaatikon on tarkoitus saada kiinni haitallisista suoritettavista tiedostoista, ennen kuin ne voivat ottaa koneen haltuun tai kaapata käynnissä olevat prosessit. Hyökkääjät ovat kuitenkin onnistuneesti hyödyntäneet useita haavoittuvuuksia ohittaakseen Java-hiekkalaatikon.
"Ennen kuin Oracle toteuttaa prosessitason hiekkalaatikon, kuten Adobe Readerin ja Google Chromen käyttämän, haittaohjelma, jolla on voimassa oleva allekirjoitus, voi silti väärinkäyttää JRE: n tietoturvavirheitä pakenemaan hiekkalaatikkoa ja vaarantaa järjestelmän", Moore sanoi.
Toistaiseksi tehdyt muutokset
Oracle päivitti tietoturvamallia äskettäin, jotta käyttäjät voivat ajaa allekirjoitettuja sovelmia myöntämättä lisäoikeuksia ja estää allekirjoittamattomia sovelmia toimimasta. Tämä tarkoittaa sitä, että vain sovelman allekirjoittaminen ei enää anna ohjelmalle mahdollisuutta puhkeaa ulos hiekkalaatikosta.
"Tämä on hyvä asia turvallisuudelle", Moore sanoi.
Toinen hyvä asia on se, että laajennuksen oletusasetukset estävät nyt allekirjoittamattomia tai itse allekirjoitettuja sovelmia suorittamasta. Nyt muutos mahdollistaa tiettyjen Web-sivustojen sallittujen luetteloinnin lisäämisen ja Java-tietoturvakäytäntöjen keskitetyn hallinnan yrityksessä, Moore totesi.
Ja tulossa pian...
Tällä hetkellä Java tukee sekä sertifikaattien peruuttamisluetteloita (CRL) että online-sertifikaattien tilaprotokollaa (OCSP) todentaakseen, onko allekirjoitettu varmenne edelleen voimassa. Koska tarkistusta ei kuitenkaan suoriteta oletuksena, vaikka sertifikaatti olisi peruutettu, hyökkääjät pystyisivät jatkamaan kyseisen huonojen sertifikaattien käyttöä. Oracle suunnittelee päivitystä, joka mahdollistaisi tarkistuksen oletuksena.
Tuleva paikallinen tietoturvakäytäntö antaa järjestelmänvalvojille ylimääräisen hallinnan käytäntöasetuksista, kuten antaa järjestelmänvalvojien määrittää, mitkä tietokoneet suorittavat Java-sovelmat ja mitkä eivät.
Vaikka kaikki Javan viimeaikaiset kokeilut vaikuttivat selaimessa toimiviin sovelmiin, Oracle tutkii myös tapoja varmistaa palvelinpuolen sovellusten turvallisuus, Ramani sanoi. Yksi muutos olisi tiettyjen kirjastojen poistaminen, joita ei tarvita palvelinpuolelta hyökkäyspinnan vähentämiseksi.
Uusi päivitysaikataulu
Oracle aikoo myös päivittää Javaa hieman useammin. Tällä hetkellä Java päivitetään kolme kertaa vuodessa seuraten erillistä päivitysaikataulua kaikista muista Oracle-tuotteista. Neljännesvuosittainen kriittisen päivityksen päivitys alkaa, mukaan lukien Java-korjaukset, lokakuussa, Ramani sanoi. Oracle julkaisee tarvittaessa hätäpäivitykset "kaistan ulkopuolella".
Ottaen huomioon, että CPU on jo aikaa vievä järjestelmänvalvojien ponnistelu, Java: n lisääminen sekoitukseen tekee vain entistä hienomman päivityksen. Toisaalta se tarkoittaa, että järjestelmänvalvojien ei tarvitse muistaa Javan erillistä päivitysaikataulua.
