Devo disabilitare Java?

23

Prima era Apple, ora è il governo degli Stati Uniti ...

Quanto è grave questa "vulnerabilità non specificata"? Tutti gli utenti dovrebbero disabilitare Java finché non sappiamo che le cose sono state corrette?

Modifica: - alcune persone hanno chiesto che venga fatta la seguente distinzione: Java è completamente diverso da Javascript, quindi qualsiasi raccomandazione riportata di seguito riguarda solo Java.

    
posta Django Reinhardt 12.01.2013 - 21:00
fonte

3 risposte

34

Apple a quanto pare lo prende sul serio, dal momento che ha "disabilitato Java" nei computer degli utenti, che è una mossa piuttosto drastica. Questo in realtà odora come un pretesto per eliminare la tecnologia, come parte di una strategia più ampia.

Per questo specifico buco, ci sono alcuni dettagli . Riguarda il modello di applet Java. Per capire:

  • Java è un linguaggio di programmazione e un'enorme libreria di codici, tutti in esecuzione all'interno di una macchina virtuale . La VM significa che il codice è molto più facile da portare tra le architetture. Fin qui tutto bene; lo stesso vale per molti altri framework, incluso .NET.

  • La strong tipizzazione di Java e della VM concettualmente consente una funzionalità aggiuntiva, che non è possibile (almeno non facilmente) con linguaggi bare metal come il C ++: il possibilmente di in grado di eseguire codice potenzialmente ostile . Con C o C ++ o assembly o qualsiasi altra cosa, tale impresa richiede un po 'di aiuto dall'hardware e dal sistema operativo (vale a dire i livelli di privilegio della modalità protetta, o, nei casi estremi, specializzato opcode di virtualizzazione ). I tipi forti e la VM consentono una soluzione sandbox solo software, che può essere integrata, ad esempio, in un browser Web.

  • Le applet Java sono proprio queste: una sandbox per l'esecuzione del codice Java che viene scaricato dal Web, come parte di una pagina Web. Tuttavia, le persone di Sun / Oracle non sapevano dove fermarsi ed erano un po 'troppo ansiosi. Poiché il codice sandboxed è severamente limitato in ciò che può fare, ci sono solo due scelte: imparare a vivere con limitazioni (questo è ciò che gli sviluppatori Javascript fanno), o includere nella sandbox un meccanismo di escape che permetta di alcune applet a fare cose fuori dalla sandbox, come leggere e scrivere file, aprire socket arbitrari ed eseguire codice nativo. La VM consente che, a condizione che l'applet richieda con cura , che comporta autorizzazioni ben definite, una firma digitale e un popup di autorizzazione esplicita.

  • Si scopre che gestire questo sistema di "permessi" è molto difficile da fare per la VM e la libreria; vale a dire, la libreria è molto ricca di codice che offre l'accesso a varie strutture del sistema operativo, e devono essere tutte collegate senza dimenticarle. Ci sono centinaia, forse migliaia di "chiamate sensibili" di cui preoccuparsi. La lunga storia dei buchi di sicurezza in Java è una testimonianza della quasi impossibilità del compito. Se la tecnologia concorrente di Microsoft ( Silverlight , costruita su .NET) sembra un po 'meno influenzata, è soprattutto perché è molto meno usato in tutto il mondo, dandogli molta meno esposizione.

Per il momento , la cosa più sicura da fare è disabilitare il supporto per le applet Java nel tuo browser. Nota che le applicazioni di Java, e in particolare tutto ciò che viene eseguito sul lato server, non subiscono alcun impatto.

Il problema di eseguire in sicurezza il codice ostile, mantenendo allo stesso tempo funzionalità avanzate e controllo degli accessi a grana fine, non è un nuovo problema. Ciò che questo ennesimo incidente di Java mostra è che questo vecchio problema è ancora irrisolto.

    
risposta data 12.01.2013 - 21:36
fonte
3

Il Department of Homeland Security (DHS), US-CERT e l'autorità di sicurezza nazionale in Norvegia raccomandavano di disabilitare Java come soluzione rapida perché il codice di exploit era presente in natura. Non era una mossa contro Java. Dopo che la patch è uscita, è stato solo consigliato di applicare la patch.

D'altra parte, c'è Apple che ha una posizione più aggressiva contro Java disabilitandola effettivamente. In passato, Apple ha mantenuto la sua versione personalizzata di Java che era in ritardo rispetto alla versione ufficiale. La vulnerabilità Java che è stata sfruttata dal malware OS X Flashback è stata corretta nella versione ufficiale alcuni mesi prima di settembre 2011, quando Flashback ha iniziato a infettare Mac OS.

Dopo aver combattuto il flashback sconfiggente, Apple ha imparato una lezione e ha cambiato la sua politica:

  • Consentire la versione ufficiale di Java su Mac OS.
  • Rimozione della dichiarazione che " Mac OS è invulnerabile ai malware " dal suo sito Web.
  • Disabilita automaticamente Java dal browser dopo 35 giorni di mancato utilizzo e chiede all'utente l'autorizzazione per abilitarlo.
risposta data 19.01.2013 - 11:59
fonte
2

Sì, dovresti disabilitare java, in quanto gli sviluppatori hanno trovato una venerabilità critica in java che aiuta gli hacker in molti modi. Così, nel recente aggiornamento, Apple ha anche rimosso java dal suo OS OS X "più sicuro"

    
risposta data 13.01.2013 - 05:43
fonte

Leggi altre domande sui tag