Java: Isključiti je ili ne?

U kolovozu prošle godine prenijeli smo apel stručnjaka za informacijsku sigurnost da se isključi podrška za Javu u preglednicima. Čini se da se povijest ponavlja, jer su u siječnju ove godine otkrivene ranjivosti nultog dana, prijavljene kao CVE-2013-0422 i CVE-2012-3174. Na tržištu su se pojavili provalnički alati koji iskorištavaju te ranjivosti za eskalaciju privilegija bez provjere certifikata kojim je kod potpisan.

Oracle je požurio s prekorednim izdavanjem zakrpa, pa su ranjivosti uklonjene u nedelju, 13.siječnja, kada je objavljen Java 7 Update 11. Oracle apelira na korisnike da što prije instaliraju novu inačicu, jer su sve prethodne ranjive.

Vjerojatno je brzoj reakciji doprinijelo i priopćenje od 10. siječnja američkog CERT-a, koji djeluje kao dio Ministarstva domovinske sigurnosti, u kojem se preporučuje isključivanje podrške za javu u preglednicima.

Čini se da izdavanjem zakrpa ipak nije sve riješeno, jer sumnje u javu ostaju. Stručnjaci upozoravaju da Java 7 update 11 podiže zadanu razinu sigurnosti na "visoku", pa će korisnik dobiti upozorenje prije pokretanja java appleta koji nemaju potpis, ili su "samopotpisani". Mozilla je stavila javu na crnu listu "Click to play", također prepuštajući korisnicima odluku o tome hoće li pokrenuti sumnjive aplete.

Sumnjičavosti doprinosi i tvrdnja Adama Gowdiaka, osnivača poljske tvrtke Security Explorations, koji je otkrio i prijavio Oracleu brojne ranjivosti Jave, a koji smatra da Oracle neozbiljno i traljavo pristupa ispravljanju pogrešaka.

Dan nakon što je Oracle izdao novu verziju Jave, na crnom tržištu se pojavio novi 0-day exploit, koji se prodaje za 5000 $, kao što to na svom blogu otkriva Brian Krebs, novinar koji se specijalizirao za informacijsku sigurnost.

Ako ste zabrinuti za sigurnost, isključite javu u svom pregledinku. No time ćete izgubiti pristup mnogim web sjedištima, a neka od njih su vam možda neophodna za obavljanje posla. Jedno od rješenja koje mnogi primjenjuju je korištenje dva različita preglednika, jednog s Javom za posjet provjerenim i poznatim sadržajima, a drugog bez Jave za nasumično surfanje mrežom.

Radoznalima i zainteresiranima za sigurnost preporučujemo da pročitaju upozorenje US-CERT-a, gdje će naći tehničke detalje i poveznice na stranice s dodatnim informacijama.

Povezani članci:

Apel stručnjaka za sigurnost: isključite javu u svojim preglednicima!

Vote: 
3.833335
Vaša ocjena: Nema Average: 3.8 (6 votes)

Komentari

Mozilla je dodao i Java Plugin 7 update 11 (zadnja raspoloživa inačica) u svoju crnu listu dodataka: https://addons.mozilla.org/en-US/firefox/blocked/

Sada novi Firefox v. 18 automatski blokira izvođenje Java Appleta iako je Java Plugin omogućen u Firefoxovom Add-ons Manageru i prije izvođenja svakog appleta traži se potvrda korisnika, što iritira i zbunjuje korisnike (iako si oni napredniji mogu pomoći):

 

U računovodstvu ne mogu koristiti Internet bankarstvo, web-sučelje na mrežnim pisačima, switchevima i slično ne radi dobro. Sve to su dodatne glavobolje za administratore.

Izgleda da je najbrže rješenje u Firefoxu otvoriti about:config i postaviti extensions.blocklist.enabled na False čime Firefox pokreće i dodatke koje smatra nesigurnima, tj. koji su na njegovoj crnoj listi (vidi http://kb.mozillazine.org/Extensions.blocklist.enabled).

 

 

 

Nekoliko dana nakon što je objavljen Java Plugin 7 update 13 još uvijek nije na Mozillinoj crnoj listi (https://addons.mozilla.org/en-US/firefox/blocked/) pa se više ne pojavljuje ta crvena lego kocka ;-) u Firefoxu.

 

Na crnu listu https://addons.mozilla.org/en-US/firefox/blocked/ ponovno je dodan Java Plugin ver. 7 U 12 do 15.

Npr. time ne radi http://filesender.srce.hr/ (pojavi se Error #2032 prilikom učitavanja početne stranice).