为什么在Windows,Mac和Linux上Java现在没有那么多安全风险

曾经是Web的重要组成部分的Java在过去的几年中已不再流行。大多数现代浏览器默认都会阻止Java,大多数家庭用户无需再安装它。

我们早就听说Java是台式机(尤其是台式机)中最不安全的软件。视窗。但这仍然是真的吗?让我们深入研究一下。

Java的历史问题

Java成为如此受欢迎的攻击目标的主要原因是它的广泛性。因为Java是为实现最大兼容性而设计的,所以它可以在许多设备上运行。除计算机外,Java还为蓝光播放器,打印机,停车支付系统,彩票设备等提供动力。通过模糊处理来实现安全性是相反的:主要平台为攻击提供了最佳回报。

当然,我们关心的是台式机上的Java。在那里,最糟糕的罪行是Java不会自动更新自身。与大多数其他现代程序不同,Java只是要求用户在可用时安装更新。更糟糕的是,默认情况下,Java每周仅检查一次更新,甚至每月检查一次。对于具有许多安全漏洞的应用程序来说,这很危险。

许多人看到更新提示而忽略了它,从而导致他们运行的Java版本过旧。随着定期提供新版本,即使是那些安装了某些更新的人也可能会感到沮丧,而忽略了其他更新。在某些情况下,即使用户安装了新版本,他们也会保留Java的旧副本。这扩大了他们的攻击脆弱性。

当然,我们不能忘记Java长期存在的传奇,其中包括可怕的Ask Toolbar。每次安装或更新Java时,都必须记住取消选中一个复选框,否则它将包含该垃圾邮件。虽然不是漏洞利用,但它在用户的口中留下了不好的味道。

我们应该给Oracle放一个带有Ask Toolbar的蛋糕。

-Tim Barrett(@timbarrett) 2018年2月24日

现代Java

所以过去这就是Java的问题,但最近又如何呢?

2017年10月,Veracode发现[没有更长的可用时间] 88%的Java应用程序包含至少一个易受攻击的组件。在2016年初,Oracle宣布甚至Java安装程序也容易受到攻击。如果攻击者在您的“下载"文件夹中放置了具有特定名称的DLL文件,则在您运行Java安装程序时会触发感染。通常,由于Java的流行,您只需要访问一个受感染的网站,该网站利用了您过时的Java副本即可被感染。

这意味着Java远非安全,但是新闻。 2016年初,Oracle宣布计划弃用JDK 9中的Java浏览器插件(这是大多数问题的根源),该插件现已上市。现代浏览器也把Java抛在了后面。 Chrome在2015年末放弃了对Java的支持,而Firefox在2017年初停止了对它的支持。Windows 10附带的Microsoft Edge浏览器根本不支持Java。

这意味着如果您确实需要在浏览器中使用Java时,您必须坚持使用Internet Explorer。

最大漏洞

由于Java的普及率下降,因此它被认为是最不安全的台式机

Flexera自2017年第一季度以来的最新数据显示,普通PC上有7.8%的程序已达到使用寿命。根据市场占有率乘以未打补丁的用户百分比,该软件排名十大最受关注的程序:

  • iTunes 12.x
  • Java 8.x
  • VLC Media Player 2.x
  • Adob​​e Reader XI 11.x
  • Adob​​e Shockwave Player 12.x
  • Malwarebytes反恶意软件2.x
  • 用于PC 1.x的Kindle
  • Adob​​e Acrobat Reader DC 15.x
  • uTorrent 3.x
  • 用于Windows 6.x的iCloud
  • 此列表可能会让您感到惊讶。虽然Java不是风险最高的程序,但它仍然是第二个程序。我们通常不涉及安全风险的其他程序(例如VLC和Malwarebytes)也占有一席之地。这说明了使所有软件(不仅是流行的软件)保持最新状态的重要性。

    通过查看Avast的2017年第三季度安全报告,我们可以了解更多信息。它列出了用户PC上最落后的十大程序:

  • Java 6、7和8
  • Adob​​e Air
  • Adob​​e Shockwave
  • VLC Media Player
  • iTunes
  • Firefox
  • 7-Zip
  • WinRAR
  • QuickTime
  • Adob​​e Flash Player
  • 当您包含旧版本时,似乎Java仍然是更新最少的软件。 Adobe的插件也是罪魁祸首,我们看到iTunes和VLC也在此列表中。

    相反,根据TechRadar的说法,Chrome在更新的应用程序中排名第一。经过调查,有88%的运行Chrome的用户安装了最新版本。与Java和Adobe运行时所使用的令人讨厌的更新提示相比,这表明静默自动更新如何产生巨大的变化。

    要记住的更新的另一个重要组成部分是操作系统更新。请记住,安装了自动更新的用户在2017年中期免于遭受可怕的勒索软件攻击。即使您使Java之类的软件保持最新,但如果您不安装Windows更新,您的计算机仍然会受到威胁。

    Windows 10使这些自动更新变得容易,但是Windows 7上的那些可能已禁用它们。那些在使用寿命即将结束的四年后仍在使用Windows XP的人们正面临着巨大的风险。

    Java到底有多危险?

    总而言之,我们仍然可以说Java是台式机最大的安全风险吗?并不是的。不利的一面是,即使人们确实不需要过时的Java,他们仍然继续使用过时的Java版本。这使它们容易受到安全漏洞的攻击。但是,由于大多数浏览器不再支持Java,因此它们不再像以前那样容易受到攻击。

    计算机安全性的薄弱环节来自您所使用的最受欢迎的软件不要保持更新。如果您拥有Java的最新版本,但仍未卸载不受支持的Windows QuickTime,则可能会面临很大的风险。拥有过时的Flash,Adobe Reader或iTunes版本也可能使您也受到攻击。

    —飞蛾(@ 13_moths)2018年2月12日

    我们可以从数据中收集信息除此之外,没有自动更新的程序通常是最不安全的。例如,iTunes不断要求用户进行更新,这很烦人。这会导致人们忽略更新并保留不安全的版本。

    关于Mac和Linux呢?

    我们上面已经将重点放在Windows的Java上,但是值得一提的是令人惊讶的是,尽管Apple不允许Safari在默认情况下运行插件,但浏览器仍然支持Java和Silverlight等旧插件。除非出于特定原因需要在Mac上卸载Java,但Java却没有像Windows那样给Mac用户带来很多问题。最近,macOS中的大多数安全漏洞都归功于Apple本身的疏忽。

    不。不,不,不,不。

    — Cyber​​punk 2077 Sucks(@_nulldragon),2018年2月8日,

    Linux都没有发现任何独特的Java漏洞。如果您需要在Linux上支持Java的浏览器,则可以尝试ESR(扩展支持版本)版本的Firefox。 Firefox为商业环境提供了此版本。它提供了最新的安全更新,但等待更长时间才能推出功能更新。当前版本为52,支持Java和其他旧版插件,直到2018年第二季度的某个时候才可用。

    无插件的未来

    好消息是,您不需要大多数这些潜在的危险和烦人的插件。也不需要其他插件。微软几年前已弃用Silverlight,您很难找到包含Shockwave内容的网站。

    Flash是唯一的例外。由于其受欢迎程度,大多数浏览器仍支持它,但Adobe会在2020年将其淘汰。在此之前,请确保您在PC上更新Flash。 Chrome会自动执行此操作,因此您甚至可能不再安装它(很棒)。

    简而言之:Java仍不安全,但由于浏览器禁用了Java,因此风险较小。您应该卸载不需要的程序(包括旧插件),使计算机上的软件保持更新,并应用操作系统更新。如果您这样做,您将大富翁。

    图片来源:avemario / Depositphotos

    标签: 计算机安全 Java