Quali sono le potenziali implicazioni sulla sicurezza di lasciare la versione di gennaio 2010 del Java 8 di Oracle runtime installata indefinitamente?
Per il contesto, abbiamo implementato il runtime Oracle Java 8, ma dopo gennaio gli aggiornamenti saranno disponibili solo per gli utenti domestici o tramite un contratto commerciale, a prezzi che non possiamo permetterci. Questo è in un ambiente accademico e, a causa del numero di applicazioni Windows (oltre diecimila), ognuna delle quali potrebbe avere una dipendenza nota o sconosciuta su Java, passare a una distribuzione alternativa come il runtime di AdoptOpenJDK sarà difficile e sembra improbabile che venga completato in qualsiasi momento presto.
Per aiutarci a stabilire le priorità, vorrei avere un'idea di che tipo di rischi stiamo affrontando in questo momento e di quali misure potremmo adottare per attenuarli.
La mia ricerca finora suggerisce:
-
Le applet Java ora sono disabilitate su Firefox e Chrome e dovremmo essere in grado di utilizzare i criteri di gruppo o altri strumenti per disabilitarli anche su Internet Explorer. (Gli attacchi basati su applet sono tutti comuni per cominciare? O è probabile che diventino più comuni l'anno prossimo?)
-
I browser non avviano le applicazioni Java Web Start senza l'autorizzazione esplicita dell'utente, quindi anche se la sandbox viene interrotta da una vulnerabilità scoperta di recente, ciò non è più pericoloso di un utente che scarica ed esegue un'applicazione convenzionale.
-
Le applicazioni Java desktop, ad es.
.jar
file, non sono comunque sandbox, quindi le vulnerabilità della sicurezza nel runtime non dovrebbero importare a meno che non risultino vulnerabili nell'applicazione. Ciò significa che dovremo fare qualcosa per il (relativamente piccolo) numero di macchine che abbiamo in esecuzione Tomcat, ma che dovrebbe funzionare perfettamente su qualsiasi distribuzione Java, e la maggior parte delle altre applicazioni Java non dovrebbe essere esposta direttamente agli attacchi.
Quindi, nel complesso, la situazione non sembra così male come sembrava. Ma forse sto trascurando qualcosa? Quali altri rischi stiamo affrontando?