編者按：在《2010年10月編程語(yǔ)言排行榜》里我們?cè)敿?xì)向大家介紹了Java的混亂。盡管混亂的Java政治世界已經(jīng)讓我們厭煩，但是不可否認(rèn)，Java依舊是最受關(guān)注的編程語(yǔ)言，Java的前景依舊被很多人看好，尤其是互聯(lián)網(wǎng)巨頭們：10月13日，Oracle和IBM這對(duì)老冤家宣布將在OpenJDK方面進(jìn)行合作。這兩家公司表示，它們要使OpenJDK社區(qū)成為開源軟件“Java企業(yè)版”的主要開發(fā)陣地。兩家公司的合作將集中在Java語(yǔ)言、Java開發(fā)工具和Java運(yùn)行時(shí)間環(huán)境等方面。但是Java已經(jīng)萬(wàn)無(wú)一失了嗎？Java在各版本的更新及時(shí)嗎？一名外國(guó)的開發(fā)者M(jìn)ichael Horowitz在自己的博客中告訴你：“Java不用就卸載吧！”全部譯文如下：

我前兩天曾寫過(guò)一篇文章探討了在計(jì)算機(jī)上安裝Java的好處和不利影響，我并沒有任何偏見，只是為了分享我的一點(diǎn)經(jīng)驗(yàn)而已，任何將Java視為一杯咖啡的人都不應(yīng)該在他們的計(jì)算機(jī)上安裝它。

最重要的一點(diǎn)是，那些不懷好意的人喜歡利用舊版本Java中的漏洞在你的計(jì)算機(jī)上安裝惡意軟件，微軟的Holly Stewart在她們的惡意軟件保護(hù)中心博客上發(fā)文表示，Java漏洞利用達(dá)到了前所未有的頻繁程度，微軟發(fā)現(xiàn)的Java漏洞經(jīng)常被利用，即使很久以前就發(fā)布了修復(fù)補(bǔ)丁，但很多人卻置之不理。

Secunia公司發(fā)布的2010年上半年安全報(bào)告寫道：

“許多廠商提供的部署和更新機(jī)制非常有限，包括流行廠商在內(nèi)，在很大程度上忽略了最終用戶PC上的程序升級(jí)，粗暴地將問(wèn)題甩給最終用戶，大多數(shù)廠商沒有采取切實(shí)有效的措施保護(hù)他們的用戶，一般都會(huì)等到爆發(fā)大規(guī)模攻擊時(shí)才會(huì)提供幫助，但殊不知這時(shí)行動(dòng)會(huì)大大地影響到企業(yè)的聲譽(yù)。”

“通常，用戶要么不知道升級(jí)，要么被復(fù)雜的升級(jí)過(guò)程和頻繁程度所嚇倒。從攻擊者角度看，針對(duì)第三方程序的攻擊被證明是一種有效的途徑，并且被發(fā)現(xiàn)的幾率很小，給黑客活動(dòng)留下了充足的時(shí)間，因此逐漸成為攻擊者的最愛，那些原以為給系統(tǒng)打上所有補(bǔ)丁就安全的用戶大錯(cuò)特錯(cuò)，第三方軟件的漏洞還未引起人們的足夠重視。”

糟糕的是Oracle和微軟未聯(lián)手在Windows Update中包含Java更新，在Linux世界中，軟件更新機(jī)制非常簡(jiǎn)單，就是一條規(guī)則，但這在Windows中是不可想象的。

Google在它的Chrome瀏覽器中嵌入了Flash和PDF閱讀器，據(jù)說(shuō)將來(lái)還會(huì)將Java也添加進(jìn)來(lái)，這無(wú)疑是開放了一個(gè)更大的安全缺口。

在這份報(bào)告中，Secunia發(fā)現(xiàn)他們分析的計(jì)算機(jī)中89%都安裝了Java，難怪有人會(huì)攻擊它，正所謂樹大招風(fēng)。

攻擊者使用Java作為他們的攻擊目標(biāo)另一個(gè)原因是，Java小程序是在Web頁(yè)面中運(yùn)行的，這就意味著瀏覽一個(gè)網(wǎng)頁(yè)就有可能被感染，攻擊者并不需要誘騙受害者打開附件或安裝偽裝的解碼器。

我看過(guò)Java利用的一手資料，在我寫完前一篇博客時(shí)，有人給了我一臺(tái)已感染的Windows XP計(jì)算機(jī)，讓我?guī)椭宄渲械牟《竞湍抉R，根據(jù)ESET的在線病毒掃描結(jié)果顯示，其中一個(gè)惡意程序叫做“Java/TrojanDownloader.Agent.NBU trojan.”，如下圖所示。

圖 1 ESET掃描結(jié)果

ESET掃描結(jié)果顯示，惡意軟件位于C:\Documents and Settings\userid\Application Data\Sun\Java\Deployment\cache\6.0\文件夾，這臺(tái)計(jì)算機(jī)安裝了兩個(gè)舊版本Java，可見未打補(bǔ)丁的Java是很容易被瞄上的。

Java可以自助更新，但默認(rèn)情況下，每個(gè)月才檢查一次更新，你應(yīng)該將其改為每天或每周檢查。

在這臺(tái)Windows XP電腦上，我將所有舊版本全部卸載，然后全新安裝最新版本的Java（Java 6 update 22），但我發(fā)現(xiàn)其自動(dòng)更新居然是每月的0號(hào)進(jìn)行，如下圖所示。

圖 2 Java自動(dòng)更新設(shè)置

最重要的是，檢查更新的程序（jusched.exe）已不再隨系統(tǒng)啟動(dòng)而啟動(dòng)，因此談自動(dòng)更新是一件荒謬的事，如果連升級(jí)程序都不啟動(dòng)，談何更新呢？

如果你安裝了Java，請(qǐng)檢查版本是否低于Java 6 update 22，不知道怎么檢查，那直接訪問(wèn)JavaTester.org這個(gè)網(wǎng)站吧。

使用Java的Mac用戶在這方面就處于不利地位了，因?yàn)镺racle通常只會(huì)發(fā)布Windows和Linux版本的Java更新，至于為什么我也不明白，只有蘋果自己為Mac發(fā)布Java更新，但從歷史上看，其更新速度遠(yuǎn)遠(yuǎn)落后于Oracle。

至此，如果你想保護(hù)好計(jì)算機(jī)，那最好卸載Java，如果你需要它，你可以隨時(shí)重新安裝它。

如果你的軟件需要某個(gè)版本的Java支持，最好考慮仔細(xì)一點(diǎn)，因?yàn)槟憧赡苷诔ｋU(xiǎn)走去，特別是越舊的版本，危險(xiǎn)越大。

原文出處：http://blogs.computerworld.com/17191/java_use_it_or_lose_it

原文名：Java: use it or lose it

作者：Michael Horowitz

【51CTO譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載，合作媒體轉(zhuǎn)載請(qǐng)注明原文出處、作者及51CTO譯稿和譯者！】

【編輯推薦】

1. IBM加入OpenJDK 將聯(lián)手Oracle發(fā)展Java技術(shù)
2. 對(duì)于Java，Oracle的下一步打算是什么？
3. 2010年10月編程語(yǔ)言排行榜：Java的混亂之治