甲骨文漏洞曝光 揭秘Java安全的真相——赶快禁用java吧

甲骨文漏洞曝光 揭秘Java安全的真相

关于Java的安全事件屡屡发生，黑客通过发现IE浏览器中Java插件的漏洞，在有漏洞的用户计算机中安装恶意软件。近日甲骨文发布了Java的一个紧急更新。由于一个严重漏洞的曝光，美国政府数天前建议PC用户暂时禁用Java，以免遭到黑客攻击。

但是通过Java，可以运行客户端桌面应用程序和向WEB浏览器拓展，这使得Java成为 了一枚定时炸弹，随时爆发安全隐患。

下面我来来盘点一下Java 安全的真相：

1、安全关注：客户端的Java

黑客往往利用Java在浏览器中的插件来攻击Java的客户端，甲骨文此次紧急更新解决了Java 7的两个漏洞，攻击者就是攻击了Java中的漏洞代码。黑客已经知道如何利用Java的一个漏洞去安装恶意软件，这可能导致个人信息泄露，或是使用户计算机成为僵尸网络中的一员。甲骨文表示，此次曝光的漏洞仅对Java 7有影响。

2、零日漏洞仍然是一个漏洞

Java使用非常广泛，已经成为黑客的主要攻击对象之一。去年Java使用率已超越Adobe公司的Reader软件，成为最易受黑客攻击的软件。Oracle此次发布的更新包含了安全漏洞CVE-2013-0422的补丁，同时也改变了默认的Java安全级别设置。任何未签名的Java Applet或Java Web Start应用程序运行时总是会被提示，这样可以防止恶意应用被下载，对用户来说这可能会带来的影响是需要多确认一下。

3、美国国土安全部建议：禁用Java

之前美国国土安全部称Java带来了风险，并建议用户关闭软件。尽管Oracle发布了一个Java漏洞的修复补丁，但该部门在当天更新的安全注意事项（security note）里仍表示，Java 7的_update11实际上可能没有限制特权代码的访问。禁用Java可以确保企业不受Java漏洞的侵害。

4、攻击者仍追捧Java漏洞的攻击

目前 Java 已经成为了黑客的主要攻击目标。根据卡巴斯基实验室的报告，超过半数的攻击都是针对 Java 发起的，Adobe Reader 软件占 28% 的“攻击份额”，Windows 系统和 IE 浏览器的份额则为 3%。

Java漏洞被网络攻击者追捧，而这里漏洞的攻击对罪犯非常有吸引力，因为可以通过Java漏洞来攻击可利用的目标。

5、限制Java的管理工具

到底是启用Java还是禁用Java？事实上，没有使用Java可以做到百分之百的安全。但是却可以降低被攻击的风险。例如通过完善网络架构，IT管理员加强网络保护等措施保护网络边界的安全。

针对企业的浏览器Java扩展，可以选用第三方的策略工具，提供了一个高层次的集中管理Java环境，这种集中管理应用程序还允许远程禁用Java，提高Java中执行的安全性能。

6、用Java进行基于浏览器的桌面应用程序开发

黑客找到了利用Java网络浏览器版本漏洞将恶意软件安装在PC上的方法，从而实施各种犯罪行为，从窃取身份证信息到利用受感染的电脑对网站发动广泛攻击。为了使企业更容易保护Java，甲骨文可能会推出不同类型的Java系列。一个快速的解决方法就是使企业能够在台式机上安装Java运行时环境，而无需安装浏览器扩展。