Oracle обіцяє кращу безпеку Java

У світлі останніх уразливостей, виявлених на Яві, та постійних проблем, пов'язаних із загальною безпекою технології, Oracle пообіцяв - знову ж таки, - що вона вирішить проблеми.

Oracle вже вніс деякі зміни в Java і працює над новими ініціативами щодо покращення безпеки, написав у п’ятницю в блозі в блозі начальник відділу розробки Java в Oracle Нандіні Рамані. Після серії гучних нападів на Інтернет, спрямованих на працівників у різних галузях, Orace пообіцяв вирішити основні проблеми в міжплатформеному середовищі.

Дві зміни, викладені в публікації Рамані, включаючи оновлення моделі захисту аплетів та поведінку плагіну Java за замовчуванням, вже є активними. В даний час розробляються інші зміни, наприклад, як програми Java обробляють відкликані сертифікати, реалізація місцевих політик безпеки для створення спеціальних правил та обмеження бібліотек, доступних для серверних додатків. Рамані не вказав, коли ці оновлення будуть доступні.

Що з пісочниці?

"В цілому це є хорошою річчю для Java, але ці зміни не вирішують основної проблеми з самою пісочницею Java", - заявив HD Moore, головний науковий співробітник Rapid7 та творець рамки тестування проникнення Metasploit. надіслати електронною поштою SecurityWatch.

Пісочниця Java - це захищена зона, де виконуються програми, окремо від базової системи. Передбачається, що пісочниця може захоплювати шкідливі виконувані файли, перш ніж вони зможуть перейняти машину або викрасти запущені процеси. Однак зловмисники успішно використали кілька вразливих ситуацій, щоб обійти пісочну скриньку Java.

"Доки Oracle не впроваджує пісочницю на рівні процесу, таку, яку використовують Adobe Reader та Google Chrome, шкідливий аплет з дійсною підписом все ще може зловживати вадами безпеки JRE, щоб уникнути пісочниці та поставити під загрозу систему", - сказав Мур.

Поки що зміни

Нещодавно Oracle оновив модель безпеки, щоб користувачі могли запускати підписані аплети без надання додаткових привілеїв та блокувати непідписані аплети від запуску. Це означає, що лише підписання аплету більше автоматично не дає програмі можливість вирватися з пісочної скриньки.

"Це добре для безпеки", - сказав Мур.

Ще одна гарна річ - той факт, що налаштування безпеки плагінів за замовчуванням тепер запобігають виконанню безпідписаних або самопідписаних аплетів. Тепер ці зміни дають змогу створювати білі списки певних веб-сайтів та централізовувати політику безпеки Java на підприємстві, зазначив Мур.

І незабаром …

В даний час Java підтримує списки відкликання сертифікатів (CRL) та протокол статусу онлайн-сертифіката (OCSP), щоб перевірити, чи є підписаний сертифікат все-таки дійсним. Однак, оскільки перевірка не виконується за замовчуванням, навіть якщо сертифікат був відкликаний, зловмисники зможуть продовжувати використовувати цю погану сертифікацію. Oracle планує оновлення, яке дозволить перевірити за замовчуванням.

Наступна локальна політика безпеки надає адміністраторам додатковий контроль над налаштуваннями політики, наприклад, дозволяючи системним адміністраторам визначати, на яких комп'ютерах запускати аплети Java, а на яких комп’ютерах не можна.

Незважаючи на те, що всі останні випробування Java вплинули на аплети, які працюють у веб-браузері, Oracle також вивчає способи забезпечити безпеку програм на стороні сервера, сказав Рамані. Однією зміною було б видалення певних бібліотек, які не потрібні на стороні сервера для зменшення поверхні атаки.

Новий графік оновлень

Oracle також збирається частіше оновлювати Java. На даний момент Java оновлюється три рази на рік, дотримуючись окремого розкладу оновлень від усіх інших продуктів Oracle. Щоквартальне оновлення критичних патчів розпочнеться, включаючи виправлення Java у жовтні, сказав Рамані. Oracle все ще випустить аварійні оновлення, "поза діапазоном", коли це буде необхідно.

Враховуючи те, що процесор - це вже багато часу для адміністраторів, додавання Java до суміші просто сприяє ще більшого оновлення. З іншого боку, це означає, що адміністраторам не потрібно пам’ятати окремий графік оновлення Java.