你的企業(yè)在使用Java平臺(tái)嗎?你可知道，Java平臺(tái)很有可能會(huì)為病毒、木馬大開(kāi)方便之門(mén)。就如何防范最新的Java平臺(tái)漏洞這一話題，本文為讀者提供了一些參考方案。

作為一種得到廣泛應(yīng)用的編程語(yǔ)言，針對(duì)Java平臺(tái)的攻擊呈現(xiàn)出逐漸抬頭的跡象。很多安全研究人員就此提出了自己的方法，以便用戶保護(hù)自己的計(jì)算機(jī)，以防范針對(duì)Java平臺(tái)的攻擊。安全研究人員希望在甲骨文沒(méi)有提供官方補(bǔ)丁的前提下，用戶們能夠通過(guò)這些方法降低系統(tǒng)遭到攻擊的風(fēng)險(xiǎn)。

因噎廢食不可取

未經(jīng)授權(quán)執(zhí)行應(yīng)用是目前Java平臺(tái)上最常出現(xiàn)的漏洞類型。今年9月底，安全專家Adam Gowdiak發(fā)現(xiàn)了存在于Java 5、Java 6以及Java 7平臺(tái)上的一個(gè)漏洞。他表示，通過(guò)此漏洞，黑客可在超過(guò)10億臺(tái)裝有Java的 Mac和PC機(jī)上安裝惡意軟件與病毒。而在此前的8月底，安全公司FireEye的研究人員也曾宣布發(fā)現(xiàn)了Java平臺(tái)的安全漏洞。由于這一漏洞，用戶只要通過(guò)啟用了Java插件的Web瀏覽器訪問(wèn)網(wǎng)頁(yè)，就會(huì)被悄悄地執(zhí)行內(nèi)嵌在其中的惡意代碼。

甲骨文10月中旬發(fā)布的Java 7 Update 9和Java 6 Update 37升級(jí)補(bǔ)丁聲稱修復(fù)了一些漏洞，但是，未來(lái)是不是還會(huì)有新的漏洞被曝光?一旦出現(xiàn)新的漏洞，而又暫時(shí)沒(méi)有補(bǔ)丁程序去修補(bǔ)，用戶應(yīng)該怎么辦?

為了保護(hù)系統(tǒng)、避免針對(duì)安全漏洞的攻擊，在大多數(shù)情況下，安全專業(yè)人員都會(huì)建議用戶卸載Java，或者至少禁用瀏覽器中的Java Web插件。

美國(guó)計(jì)算機(jī)緊急響應(yīng)小組(US-CERT)曾經(jīng)發(fā)布了一份公告，詳細(xì)介紹了如何禁用安裝在幾款最流行的瀏覽器中Java插件的具體方法。

這對(duì)于緩解Java新安全漏洞風(fēng)險(xiǎn)無(wú)疑是最有效的方法了。不過(guò)這種做法頗有些因噎廢食的感覺(jué)。對(duì)于那些依賴Java平臺(tái)Web應(yīng)用程序的企業(yè)而言，不可能因?yàn)橐恍┌踩┒淳屯５羰稚线\(yùn)營(yíng)著的重要業(yè)務(wù)。

反病毒軟件廠商Sophos高級(jí)安全顧問(wèn)Chester Wisniewski認(rèn)為：“大多數(shù)消費(fèi)者也許根本就不需要Java平臺(tái)。但是許多企業(yè)用戶的某些應(yīng)用確實(shí)需要用到Java，比如GoTo Meeting和WebEx。”

分權(quán)限訪問(wèn)很關(guān)鍵

安全廠商Qualys的首席技術(shù)官Wolfgang Kandek提出了另一個(gè)解決方案，該方法的主旨是利用IE瀏覽器中基于區(qū)域(Zone)的安全機(jī)制，以限制網(wǎng)站載入Java應(yīng)用的權(quán)限。

Kandek近日在博文中表示，用戶們可以首先在互聯(lián)網(wǎng)(Internet Zone)中禁止使用Java(修改注冊(cè)表，將HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3的鍵值1C00設(shè)成0)，然后允許Java只在信任區(qū)域(Trusted Zone)中加入白名單的網(wǎng)站上才能運(yùn)行。

與此同時(shí)，谷歌Chrome和Mozilla火狐(Firefox)的用戶啟用點(diǎn)擊播放(click to play)功能后，也能得到類似的效果。點(diǎn)擊播放功能默認(rèn)會(huì)阻止基于插件的內(nèi)容載入，并要求用戶確認(rèn)。這項(xiàng)功能同時(shí)還設(shè)立了白名單功能。

Chrome一直以來(lái)就支持點(diǎn)擊播放功能，我們可以從高級(jí)設(shè)置界面來(lái)啟用。不過(guò)在火狐中，這項(xiàng)功能仍在不斷改進(jìn)之中，只有在“about:config”界面中將“plugins.click_to_play flag(火狐14及更高版本才有該設(shè)置)”切換成“true”，才能激活該功能。

反病毒軟件廠商ESET的安全宣傳官Stephen Cobb認(rèn)為：“最合適的安全策略是因人而宜的。這既要看對(duì)Java平臺(tái)的應(yīng)用程度，還要看企業(yè)現(xiàn)有的安全狀況。單獨(dú)將某一種策略普適于所有人顯得有些不切實(shí)際。”