建议用户升级或卸载Java,JRE存在严重安全隐患
31 Jul 2012据外国媒体报道,微软恶意软件保护中心研究员Matt Oh在TechNet上发布了一篇文章,教用户如何保护自己基于Java系统漏洞上的恶意软件。同时Matt Oh也在Black Hat 2012的发言中表示,Java威胁着用户信息安全而且这一情况不仅仅发生Windows用户身上。
“我们发现了越来越多关于Java的缺陷,而且Java的一个漏洞往往影响多个平台,”Matt Oh表示。
Matt Oh主要担心的是“沙箱”漏洞,“沙箱sandbox”指的是计算机信息安全的保护程序。如果恶意程序的开发者跳过Java/JRE的沙箱,他们就可以控制整一个系统,不管这是一个运行Windows还是Mac OS X或者Unix的系统,都会被无恶意程序控制。其中Java的一个缺陷“类型混淆type confusion”安全漏洞CVE-2012-1723在几个星期前刚刚被识别出来,还有之前代码为CVE-2012-0507的“Flashback botnet”恶意程序,在今年已经入侵超过60万台Mac,恶意程序能够成功入侵系统就是因为Java出现严重的安全漏洞。
“类型混淆type confusion”指的是,当不安全程序与其他不同类型程序一起运作时,在Java的运行环境下,不能识别出不安全程序而导致系统没有办法进行正常的类型安全检查。Java系统中的一些类型,比如说ClassLoader,就可能成为恶意程序的攻击对象。如果一旦这类的类型安全程序被攻破,那么入侵者就可以获得只属于这类程序内部的权限,最终可能导致整一个Java的沙箱系统被控制住。
Matt Oh的建议是,升级你的JRE或者在有必要的时候停止使用。如果你还不使用Java那么卸载JRE——Java运行环境,运行JAVA程序所必须的环境的集合,包含JVM标准实现及Java核心类库。
而InfoWorld的专栏记者Woody Leonhard表示,在几个月前他就已经对Java的运行发出过质疑。Woody Leonhard认为整个行业应该鼓励所有用户停止使用JRE.JVM:如果有一个需要在JRE环境下运作的程序,就应该停止对外销售;如果哪个公司有跟 JRE合作的商业计划,就需要更改计划。Woody Leonhard甚至呼吁所有企业,如果继续使用Java就会将自己的客户置于一个非常危险的境地。
新闻来源:华军软件园