วีดีโอ: What’s New in Java Security? (กันยายน 2024)
เมื่อพิจารณาถึงช่องโหว่ล่าสุดที่พบใน Java และความกังวลอย่างต่อเนื่องเกี่ยวกับความปลอดภัยโดยรวมของเทคโนโลยีออราเคิลได้ให้คำมั่นสัญญาอีกครั้งว่าจะแก้ไขปัญหาได้
ออราเคิลได้ทำการเปลี่ยนแปลงบางอย่างกับจาวาและกำลังทำงานกับความคิดริเริ่มใหม่ ๆ เพื่อปรับปรุงความปลอดภัยนายนันดินี่รามานิหัวหน้าฝ่ายพัฒนา Java ของออราเคิลเขียนไว้ในบล็อกโพสต์เมื่อวันศุกร์ หลังจากชุดการโจมตีทางเว็บที่มีชื่อเสียงระดับสูงตกเป็นเป้าของพนักงานในอุตสาหกรรมต่างๆ Orace ให้คำมั่นที่จะแก้ไขปัญหาพื้นฐานในสภาพแวดล้อมข้ามแพลตฟอร์ม
การเปลี่ยนแปลงสองอย่างที่ระบุไว้ในโพสต์ของ Ramani รวมถึงการอัปเดตโมเดลความปลอดภัยของแอปเพล็ตและพฤติกรรมเริ่มต้นของปลั๊กอิน Java นั้นมีอยู่แล้ว การเปลี่ยนแปลงอื่น ๆ เช่นวิธีที่แอปพลิเคชัน Java จัดการใบรับรองที่ถูกเพิกถอนการใช้นโยบายความปลอดภัยในท้องถิ่นเพื่อสร้างกฎที่กำหนดเองและการ จำกัด ไลบรารีที่มีให้กับแอปพลิเคชันฝั่งเซิร์ฟเวอร์ Ramani ไม่ได้ระบุว่าจะมีการอัปเดตเหล่านี้เมื่อใด
สิ่งที่เกี่ยวกับ Sandbox
สิ่งนี้เป็นสิ่งที่ดีสำหรับ Java แต่การเปลี่ยนแปลงเหล่านี้ไม่สามารถแก้ปัญหาพื้นฐานของกล่องทราย Java ได้” HD Moore หัวหน้าเจ้าหน้าที่วิจัยของ Rapid7 และผู้สร้างกรอบการทดสอบการเจาะ Metasploit กล่าวใน อีเมล์ไปที่ SecurityWatch
Java sandbox เป็นพื้นที่ที่ได้รับการป้องกันซึ่งมีการใช้งานแอปพลิเคชันแยกต่างหากจากระบบพื้นฐาน แซนด์บ็อกซ์นั้นควรจะถูกจับได้ว่าเป็นไฟล์ที่เป็นอันตรายก่อนที่พวกเขาจะเข้าควบคุมเครื่องหรือจี้กระบวนการที่กำลังทำงานอยู่ อย่างไรก็ตามผู้โจมตีได้ใช้ช่องโหว่หลายช่องทางในการหลีกเลี่ยง Java Sandbox
“ จนกว่า Oracle จะใช้ sandboxing ระดับกระบวนการเช่นที่ใช้โดย Adobe Reader และ Google Chrome แอปเพล็ตที่เป็นอันตรายที่มีลายเซ็นที่ถูกต้องจะยังคงใช้ช่องโหว่ด้านความปลอดภัยของ JRE เพื่อหลบหนี sandbox และประนีประนอมระบบ” Moore กล่าว
การเปลี่ยนแปลงที่ผ่านมา
Oracle ได้อัปเดตโมเดลความปลอดภัยเมื่อเร็ว ๆ นี้เพื่อให้ผู้ใช้สามารถเรียกใช้แอปเพล็ตที่ลงนามแล้วโดยไม่ให้สิทธิ์เพิ่มเติมและบล็อกแอปเพล็ตที่ไม่ได้ลงชื่อ ซึ่งหมายความว่าเพียงแค่ลงนามในแอปเพล็ไม่ได้ทำให้โปรแกรมสามารถแยกออกจากกล่องทรายได้โดยอัตโนมัติ
“ นี่เป็นสิ่งที่ดีสำหรับความปลอดภัย” มัวร์กล่าว
อีกสิ่งที่ดีคือความจริงแล้วการตั้งค่าความปลอดภัยของปลั๊กอินเริ่มต้นจะป้องกันไม่ให้แอปเพล็ตที่ไม่ได้ลงชื่อ การเปลี่ยนแปลงในตอนนี้ทำให้สามารถทำรายชื่อเว็บไซต์เฉพาะและจัดการนโยบายความปลอดภัยของ Java ในองค์กรได้
และเร็ว ๆ นี้ …
ปัจจุบัน Java รองรับทั้งรายการเพิกถอนใบรับรอง (CRL) และโพรโทคอลสถานะสถานะใบรับรองออนไลน์ (OCSP) เพื่อตรวจสอบว่าใบรับรองที่ลงนามนั้นยังคงใช้ได้หรือไม่ อย่างไรก็ตามเนื่องจากการตรวจสอบจะไม่ดำเนินการตามค่าเริ่มต้นแม้ว่าใบรับรองจะถูกเพิกถอนผู้โจมตีจะสามารถใช้ใบรับรองที่ไม่ดีนั้นได้ Oracle กำลังวางแผนการอัปเดตซึ่งจะเปิดใช้งานการตรวจสอบตามค่าเริ่มต้น
นโยบายความปลอดภัยโลคัลที่ใกล้เข้ามาช่วยให้ผู้ดูแลระบบควบคุมการตั้งค่านโยบายเพิ่มเติมเช่นให้ผู้ดูแลระบบกำหนดคอมพิวเตอร์ที่จะเรียกใช้ Java applets และคอมพิวเตอร์เครื่องใดไม่สามารถทำได้
แม้ว่าการทดลองล่าสุดของจาวาทั้งหมดนั้นส่งผลกระทบต่อแอปเพล็ตที่ทำงานอยู่ในเว็บเบราว์เซอร์ แต่ออราเคิลกำลังสำรวจวิธีการเพื่อให้แน่ใจว่าแอปพลิเคชันฝั่งเซิร์ฟเวอร์ยังคงปลอดภัยอยู่ Ramani กล่าว การเปลี่ยนแปลงหนึ่งอย่างจะเป็นการลบไลบรารีบางอย่างที่ไม่ต้องการบนฝั่งเซิร์ฟเวอร์เพื่อลดพื้นที่การโจมตี
กำหนดการใหม่สำหรับการอัปเดต
ออราเคิลจะทำการอัพเดท Java บ่อยขึ้นอีกเล็กน้อย ในขณะนี้ Java ได้รับการปรับปรุงปีละสามครั้งตามกำหนดการอัพเดตแยกต่างหากจากผลิตภัณฑ์ Oracle อื่นทั้งหมด การอัพเดท Critical Patch รายไตรมาสจะเริ่มขึ้นรวมถึงการแก้ไข Java ในเดือนตุลาคม Ramani กล่าว Oracle จะยังคงปล่อยการอัปเดตฉุกเฉิน "out of band" เมื่อจำเป็น
เมื่อพิจารณาว่า CPU นั้นใช้เวลานานสำหรับผู้ดูแลระบบแล้วการเพิ่ม Java ลงในส่วนผสมนั้นเพียงแค่ทำการปรับปรุงที่ยิ่งใหญ่กว่าเท่านั้น ในทางกลับกันหมายความว่าผู้ดูแลระบบไม่จำเป็นต้องจำกำหนดการอัปเดตแยกต่างหากของ Java
