尽管Oracle在周一修补了关键的Java漏洞,美国计算机紧急准备团队(US-Cert)仍在敦促用户禁用Java浏览器插件。
即使Oracle在星期一修补了关键的Java漏洞,美国计算机紧急准备团队(US-CERT)继续敦促用户禁用Java浏览器插件。
“由于这个和先前的Java漏洞的数量和严重性,建议暂时在Web浏览器中禁用Java,”在一天的说明,一天的说明Oracle发货了“乐队外,”或紧急更新。
虽然呼叫禁用插件 - 甚至停止使用特定的浏览器 - 面对不匹配漏洞的主动漏洞并不罕见,但在释放补丁后,它们仍在继续。
但是,一对安全专业人士,包括用于揭示Java错误的分数的研究员,表示,US-Cert的举措是合理的。
“禁用Java似乎是减轻与确认,未修补的缺陷相关的风险的合理步骤,”安全探索的创始人兼首席执行官在周二的一封电子邮件中,亚当·格韦迪亚克表示
Gowdiak指的是他向甲骨文报告的其他Java漏洞,包括两个他被告知的两个人将在即将到来的2月19日更新中被修补。
Andy Co,CTO的覆盖物,一个基于旧金山的开发人员,其产品扫描其他软件,用于潜在的安全缺陷,同意Gowdiak。
“大多数用户无需访问使用Java applet的网站,”在电子邮件采访中提出。“对于他们来说,Java只是死了代码。[所以]许多用户似乎是合理的,关闭他们不需要的功能。”
来自美国证书的建议,该建议是美国国土安全部的一部分,携带特别重量:该组织作为公共和私营部门的威胁清算房和安全协调员。
Gowdiak指出,美国证券不仅可以在公开信息的信息上基于其建议,也可以在机密政府来源上。
禁用内部浏览器中的Java插件可能是许多人的解决方案,因为Chou辩称,但某些 - 企业工人,特别是但不是完全 - 依赖Java Web applet。
那么他们的举动是什么?
Gowdiak和Chou每个都建议用户运行Firefox或Chrome,其中两者都提供了称为“点击播放”的功能,该功能要求用户明确授权插件的执行。
在Chrome中,在隐私子部分中,该设置在设置(Windows)或首选项(OS X)的高级部分下。用户必须单击“内容设置”按钮,然后滚动以查看“插件”列表。
“每天需要Java插件的人可能会考虑采用某种形式的点击播放技术,这些技术将允许灵活配置插件在浏览器中运行的条件,”盖克岛说。
Java 7,通过最新漏洞可利用的版本,有一个选项,让用户完全禁用插件。星期日的更新还修改了Java的安全设置,以便它拒绝运行未经用户批准的无符号小程序。
Chou敦促用户在浏览潜在风险的网站时要谨慎,尽管可能很困难:漏洞往往托管了黑客受到损害的合法网站。
Java越来越多地由攻击者瞄准攻击者,部分原因是它是一种跨平台技术,可以不仅可以在Windows PC上利用,而且可以在Mac上被利用。据俄罗斯防病毒卖方澳门贩卖人Kaspersky称,2012年第三季度的所有袭击中的一半以上杠杆漏洞漏洞。微软说太多了一年前。
其他公司的软件在过去同样瞄准了,特别是Adobe的读者,这是该公司在过去几年中增加了对安全的一个因素。Oracle可能需要这样做,以证明Java是足够安全的。
“这是[Oracle]的叫醒呼叫,”Gowdiak说,当询问美国证书推荐是否对Java的生存和继续使用的长期影响。
“这不是Java的消亡,”Chou。“它不会很快进入,特别是在服务器端和桌面应用程序上。我不知道Oracle是否能够将Java移动到更安全的路径上。[但]它需要时间,即使是组织是严肃的。“
但是,其他安全专业人士准备好放弃了Java。在一个鸣叫上周,Ncircle安全的安全操作总监Andrew Storms简单地说:“只是卸载Java。”
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer., 上Google+或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@computerworld.com.。
看到更多来自Computerworld.com上的Gregg Keizer。
阅读有关恶意软件和漏洞的更多信息在Computerworld的恶意软件和漏洞主题中心。
这个故事“后期补丁,US-CERT继续调用禁用Java插件”最初发布Computerworld. 。