当Java最近又出现另一次零时差漏洞,要使用者「移除Java」的声音已经成为一种普遍的意见;已经有许多关于甲骨文针对最近CVE-2013-0422的Java零时差漏洞修补程式不完全的讨论;已经有许多关于甲骨文针对最近CVE-2013-0422的Java零时差漏洞修补程式不完全的讨论。
Java 仍有很大的风险
根据趋势科技的分析,我们已经证实CVE-2013-0422的修补程式并不完整。这CVE包含两个问题。一个来自com.sun.jmx.mbeanserver.MBeanInstantiator class的FindClass method。另一个来自java.lang.invoke.MethodHandle class的invokeWithArguments() method。甲骨文已经修补了后者,但是findclass method仍然可以被用来获取被限制class的reference。简单来说,findclass method的问题仍然留下可供利用的后门,可能被另一个新的漏洞所用。
趋势科技也想澄清另外一点,这次是针对CVE-2012-3174。和某些报导的观点不同,这并不是Reflection APT的问题。Reflection API的问题已经在CVE-2013-0422里被修补了。引用美国国家漏洞资料库(NVD)的话「注:有些团体将CVE-2012-3174和递回使用Reflection API的问题关连在一起,但是这问题已经被CVE-2013-0422所包含。」
在这起事件里,每个人心里最大的问题是「使用者安装这修补程式之后安全吗?」或是「这修补程式可以防护最近利用CVE-2013-0422的攻击吗?」是的,直到有人找到新臭虫跟第一个问题结合为止。Findclass method仍然是个悬而未决的问题,但它本身不能做为漏洞攻击。不过讯息很清楚:Java仍然是很大的风险。
不过,想办法去将Java的风险降到最低还是该做的事情。最理想的状况是你可以移除Java以完全避免风险。但如果因为某些原因而不可行,那这些技巧可以帮你尽可能地减少风险。在一般情况下,这是个明智的建议。如果可以的话,使用者应该移除Java,如果并不会用到。不幸的是,对于很多使用者来说,这并不是个选项。很多企业都在Java平台上构建客制化应用程式。消费者可能还需要Java去连上银行网站(许多都用Java)或执行软体(Minecraft需要用到Java )。
所以,要如何安全的使用Java?首先,Java威胁主要来自恶意网站的恶意Java程式。如果你是因为应用程式需要而安装Java,那你可以在浏览器禁用Java而不会受到影响。过去你如果需要这样做的话,需要一个一个浏览器分别设定,但现在不同了。目前的Java版本可以透过Java控制面板来做到这一点。可以在这里找到如何进行的说明。网页上的Java程式将无法执行,但Java应用程式可以继续使用,没有问题。基于这个问题,使用者必须考虑自己是否真的需要Java。如果不的话,就应该将其移除。对于无法避免使用Java的使用者而言,还有其他的方法来降低风险:
如果一定要使用Java的该怎么办?
很多企业都在Java平台上构建客制化应用程式。消费者可能还需要Java去连上银行网站(许多都用Java)或执行软体(Minecraft需要用到Java )。如果你因为应用程式需要而安装Java,就在浏览器内选择停用。所以,要如何安全的使用Java?首先,Java威胁主要来自恶意网站的恶意Java程式。如果你是因为应用程式需要而安装Java,那你可以在浏览器禁用Java而不会受到影响。
过去你如果需要这样做的话,需要一个一个浏览器分别设定,但现在不同了。目前的Java版本可以透过Java控制面板来做到这一点。可以在这里找到如何进行的说明。网页上的Java程式将无法执行,但Java应用程式可以继续使用,没有问题。如果公司内部网站或银行网站需要Java,请个别停用浏览器内的Java,选择一个「次要」浏览器来上使用Java的网站,然后在主要浏览器中停用它。
在这种情况下,你需要在浏览器内停用Java。选择「次要」浏览器专门用来浏览使用Java的网站,然后在主要浏览器中停用它。例如,如果你是Chrome使用者,你可以用Firefox或Internet Explorer来浏览Java网站。趋势科技资深安全顾问Rik Ferguson已经发表过一篇文章提供针对浏览器来停用Java的详细步骤:
在Internet Explorer 里停用Java: 的Internet Explorer的「工具」选单内选取「管理附加元件」,停用Java™ Plug-in SSV Helper 和Java 2™ Plug-in 2 SSV Helper;
在Firefox 里停用Java (MacOS 和Windows ):在「工具」选单里选取「附加元件」,停用Java Deployment Toolkit 、Java™ Platform和/或Java Applet Plug-in;
在Google Chrome 里停用Java :按入Chrome浏览器窗口右上角的「扳手」图示,选取「选项」,进入「进阶选项」然后选取「隐私权说明」中的「内容设定」。进入「内容设定」面板后,在「外挂程式」区段中选取「停用个别外挂程式」,找到Java 并且点击「停用」连结就可以了!
在MacOS 的Safari 里停用Java :在Safari 选单内选取「偏好设定」,按一下「安全性」标签。取消勾选「启用Java 」;
在Windows 的Safari 里停用Java :在浏览器右上角点选「齿轮」图示,然后选取「偏好设定」,选取「安全性」,取消勾选「启用Java 」。
基本上Internet Explorer和Firefox都可以轻易的在选单内停用外挂程式。Chrome则比较隐密,最快的做法是在地址列上输入chrome://plugins。一旦你进入设定页面,停用Java外挂程式来禁止浏览器执行任何Java程式。
此外,Chrome使用者的另一种选择是控制要不要执行Java程式。Chrome会在执行Java程式前出现提示,让你选择只执行这一次或在这网站上永久可以执行。使用者应该要选择只执行一次,如果他们知道这个网站真的需要Java。#FormatImgID_1#
值得称赞的是,甲骨文正在努力改善Java的安全性。目前的版本– Java 7 Update 11 –将预设安全设定提升为高,没有签章或自己签章的Java程式将不再可以未经使用者提示就执行。理论上,这应该能减少恶意Java程式的影响。但是使用者还是可能会去授权这些恶意Java程式执行(行之多年的社交工程陷阱 ( Social Engineering)攻击让我们很清楚的知道,可以诱导使用者去点任何东西。)而且也可能因为企业客制化的Java程式不符合这标准,导致设定被改变。
关于趋势科技所提供的相关威胁防护资讯,可以查看我们之前的文章– 「Java零时差漏洞攻击码和Ruby on Rails漏洞。
趋势科技的使用者不必担心,趋势科技Deep Security已经可以保护他们免于此威胁。自从最开始我们在部落格上报导这个问题,趋势科技就已经透过Deep Packet Inspection(DPI)规则1004711来侦测恶意Java JAR档案,保护使用者。趋势科技的主动式云端截毒技术也可以侦测针对这Java漏洞的攻击码和封锁藏有这漏洞攻击码的网站。
@原文参考出处:
How to Use Java – If You Must Java Fix for Zero-Day Stirs Questions
