幾招防范Java漏洞

作為一種得到廣泛應用的編程語言，針對Java平臺的攻擊呈現出逐漸抬頭的跡象。很多安全研究人員就此提出了自己的方法，以便用戶保護自己的計算機，以防范針對Java平臺的攻擊。安全研究人員希望在甲骨文沒有提供官方補丁的前提下，用戶們能夠通過這些方法降低系統遭到攻擊的風險。

因噎廢食不可取

未經授權執行應用是目前Java平臺上最常出現的漏洞類型。今年9月底，安全專家Adam Gowdiak發現了存在于Java 5、Java 6以及Java 7平臺上的一個漏洞。他表示，通過此漏洞，黑客可在超過10億臺裝有Java的 Mac和PC機上安裝惡意軟件與病毒。而在此前的8月底，安全公司FireEye的研究人員也曾宣布發現了Java平臺的安全漏洞。由于這一漏洞，用戶只要通過啟用了Java插件的Web瀏覽器訪問網頁，就會被悄悄地執行內嵌在其中的惡意代碼。

甲骨文10月中旬發布的Java 7 Update 9和Java 6 Update 37升級補丁聲稱修復了一些漏洞，但是，未來是不是還會有新的漏洞被曝光？一旦出現新的漏洞，而又暫時沒有補丁程序去修補，用戶應該怎么辦？

為了保護系統、避免針對安全漏洞的攻擊，在大多數情況下，安全專業人員都會建議用戶卸載Java，或者至少禁用瀏覽器中的Java Web插件。

美國計算機緊急響應小組（US-CERT）曾經發布了一份公告，詳細介紹了如何禁用安裝在幾款最流行的瀏覽器中Java插件的具體方法。

這對于緩解Java新安全漏洞風險無疑是最有效的方法了。不過這種做法頗有些因噎廢食的感覺。對于那些依賴Java平臺Web應用程序的企業而言，不可能因為一些安全漏洞就停掉手上運營著的重要業務。

反病毒軟件廠商Sophos高級安全顧問Chester Wisniewski認為：“大多數消費者也許根本就不需要Java平臺。但是許多企業用戶的某些應用確實需要用到Java，比如GoTo Meeting和WebEx。”

分權限訪問很關鍵

安全廠商Qualys的首席技術官Wolfgang Kandek提出了另一個解決方案，該方法的主旨是利用IE瀏覽器中基于區域（Zone）的安全機制，以限制網站載入Java應用的權限。

Kandek近日在博文中表示，用戶們可以首先在互聯網（Internet Zone）中禁止使用Java（修改注冊表，將HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Internet Settings＼Zones＼3的鍵值1C00設成0），然后允許Java只在信任區域（Trusted Zone）中加入白名單的網站上才能運行。

與此同時，谷歌Chrome和Mozilla火狐（Firefox）的用戶啟用點擊播放（click to play）功能后，也能得到類似的效果。點擊播放功能默認會阻止基于插件的內容載入，并要求用戶確認。這項功能同時還設立了白名單功能。

Chrome一直以來就支持點擊播放功能，我們可以從高級設置界面來啟用。不過在火狐中，這項功能仍在不斷改進之中，只有在“about：config”界面中將“plugins.click_to_play flag（火狐14及更高版本才有該設置）”切換成“true”，才能激活該功能。

反病毒軟件廠商ESET的安全宣傳官Stephen Cobb認為：“最合適的安全策略是因人而宜的。這既要看對Java平臺的應用程度，還要看企業現有的安全狀況。單獨將某一種策略普適于所有人顯得有些不切實際。”