Video: Java SE. Урок 2.Что такое JDK,JRE,JVM и компилятор? Порядок выполнения программы (November 2024)
In het licht van recente kwetsbaarheden in Java en aanhoudende zorgen over de algehele beveiliging van de technologie, heeft Oracle - opnieuw - beloofd dat het de problemen zal oplossen.
Oracle heeft al enkele wijzigingen aangebracht in Java en werkt aan nieuwe initiatieven om de beveiliging te verbeteren, schreef Nandini Ramani, hoofd van de Java-ontwikkeling bij Oracle, vrijdag in een blogpost. Na een reeks spraakmakende webgebaseerde aanvallen gericht op werknemers in verschillende industrieën, beloofde Orace de onderliggende problemen in de platformonafhankelijke omgeving aan te pakken.
Twee van de wijzigingen in Ramani's post, inclusief updates voor het appletbeveiligingsmodel en het standaardgedrag van de Java-plug-in, zijn al live. Andere wijzigingen, zoals hoe Java-applicaties met ingetrokken certificaten omgaan, het implementeren van lokaal beveiligingsbeleid om aangepaste regels te maken en het beperken van bibliotheken die beschikbaar zijn voor server-side applicaties, zijn momenteel in ontwikkeling. Ramani heeft niet aangegeven wanneer deze updates beschikbaar zouden zijn.
Hoe zit het met de sandbox?
"Over het geheel genomen is dit goed voor Java, maar deze veranderingen lossen het onderliggende probleem met de Java-sandbox zelf niet op, " zei HD Moore, chief research officer van Rapid7 en maker van het Metasploit-penetratietestraamwerk in een e-mail naar SecurityWatch.
De Java-sandbox is een beschermd gebied waar toepassingen worden uitgevoerd, los van het onderliggende systeem. De sandbox zou kwaadaardige uitvoerbare bestanden moeten vangen voordat ze de machine kunnen overnemen of lopende processen kunnen kapen. Aanvallers hebben echter met succes verschillende kwetsbaarheden misbruikt om de Java-sandbox te omzeilen.
"Totdat Oracle sandboxing op procesniveau implementeert, zoals die wordt gebruikt door Adobe Reader en Google Chrome, kan een kwaadwillende applet met een geldige handtekening nog steeds misbruik maken van JRE-beveiligingsfouten om aan de sandbox te ontsnappen en het systeem in gevaar te brengen, " zei Moore.
De veranderingen tot nu toe
Oracle heeft het beveiligingsmodel onlangs bijgewerkt, zodat gebruikers ondertekende applets kunnen uitvoeren zonder extra rechten te verlenen en niet-ondertekende applets kunnen blokkeren. Dit betekent dat alleen het ondertekenen van een applet het programma niet langer automatisch de mogelijkheid geeft uit de sandbox te breken.
"Dit is een goede zaak voor de veiligheid, " zei Moore.
Een ander goed punt is het feit dat de standaard beveiligingsinstellingen van de plug-in nu voorkomen dat niet-ondertekende of zelfondertekende applets worden uitgevoerd. De wijziging maakt het nu mogelijk om specifieke websites op de witte lijst te zetten en Java-beveiligingsbeleid centraal te beheren in de onderneming, merkte Moore op.
En binnenkort...
Momenteel ondersteunt Java zowel Certificate Revocation Lists (CRL) als Online Certificate Status Protocol (OCSP) om te controleren of een ondertekend certificaat nog steeds geldig is. Omdat de controle echter niet standaard wordt uitgevoerd, zouden aanvallers, zelfs als een certificaat was ingetrokken, die slechte certificering kunnen blijven gebruiken. Oracle plant een update waarmee standaard kan worden gecontroleerd.
Het komende lokale beveiligingsbeleid geeft beheerders extra controle over beleidsinstellingen, zoals systeembeheerders laten bepalen welke computers Java-applets moeten uitvoeren en welke computers dat niet kunnen.
Hoewel alle recente proeven van Java van invloed waren op de applets die in de webbrowser worden uitgevoerd, onderzoekt Oracle ook manieren om ervoor te zorgen dat applicaties aan de serverzijde veilig blijven, zei Ramani. Een verandering zou zijn het verwijderen van bepaalde bibliotheken die niet nodig zijn aan de serverzijde om het aanvalsoppervlak te verminderen.
Nieuw schema voor updates
Oracle gaat Java ook wat vaker updaten. Op dit moment wordt Java drie keer per jaar bijgewerkt, volgens een afzonderlijk updateschema van alle andere Oracle-producten. De driemaandelijkse kritieke patch-update zal in oktober met Java-fixes beginnen, zei Ramani. Oracle zal nog steeds noodupdates uitbrengen, "out of band", indien nodig.
Aangezien CPU al een tijdrovende inspanning is voor beheerders, zorgt het toevoegen van Java aan de mix alleen voor een nog meer gigantische update. Aan de andere kant betekent dit dat beheerders het afzonderlijke updateschema van Java niet hoeven te onthouden.
