据外国媒体报道,微软恶意软件保护中心研究员Matt Oh在TechNet上发布了一篇文章,教用户如何保护自己基于Java系统漏洞上的恶意软件。同时Matt Oh也在Black Hat 2012的发言中表示,Java威胁着用户信息安全而且这一情况不仅仅发生Windows用户身上。
“我们发现了越来越多关于Java的缺陷,而且Java的一个漏洞往往影响多个平台,”Matt Oh表示。
Matt Oh主要担心的是“沙箱”漏洞,“沙箱sandbox”指的是计算机信息安全的保护程序。如果恶意程序的开发者跳过Java/JRE的沙箱,他们就可以控 制整一个系统,不管这是一个运行Windows还是Mac OS X或者Unix的系统,都会被无恶意程序控制。其中Java的一个缺陷“类型混淆type confusion”安全漏洞CVE-2012-1723在几个星期前刚刚被识别出来,还有之前代码为CVE-2012-0507的“Flashback botnet”恶意程序,在今年已经入侵超过60万台Mac,恶意程序能够成功入侵系统就是因为Java出现严重的安全漏洞。
“类型混淆type confusion”指的是,当不安全程序与其他不同类型程序一起运作时,在Java的运行环境下,不能识别出不安全程序而导致系统没有办法进行正常的类 型安全检查。Java系统中的一些类型,比如说ClassLoader,就可能成为恶意程序的攻击对象。如果一旦这类的类型安全程序被攻破,那么入侵者就 可以获得只属于这类程序内部的权限,最终可能导致整一个Java的沙箱系统被控制住。
Matt Oh的建议是,升级你的JRE或者在有必要的时候停止使用。如果你还不使用Java那么卸载JRE——Java运行环境,运行JAVA程序所必须的环境的集合,包含JVM标准实现及Java核心类库。
而InfoWorld的专栏记者Woody Leonhard表示,在几个月前他就已经对Java的运行发出过质疑。Woody Leonhard认为整个行业应该鼓励所有用户停止使用JRE.JVM:如果有一个需要在JRE环境下运作的程序,就应该停止对外销售;如果哪个公司有跟 JRE合作的商业计划,就需要更改计划。Woody Leonhard甚至呼吁所有企业,如果继续使用Java就会将自己的客户置于一个非常危险的境地。
新闻来源:华军软件园