關(guān)于Java的安全事件屢屢發(fā)生，黑客通過發(fā)現(xiàn)IE瀏覽器中Java插件的漏洞，在有漏洞的用戶計(jì)算機(jī)中安裝惡意軟件。近日甲骨文發(fā)布了Java的一個(gè)緊急更新。由于一個(gè)嚴(yán)重漏洞的曝光，美國政府?dāng)?shù)天前建議PC用戶暫時(shí)禁用Java，以免遭到黑客攻擊。

但是通過Java，可以運(yùn)行客戶端桌面應(yīng)用程序和向WEB瀏覽器拓展，這使得Java成為 了一枚定時(shí)炸彈，隨時(shí)爆發(fā)安全隱患。

下面我來來盤點(diǎn)一下Java 安全的真相：

1、安全關(guān)注：客戶端的Java

黑客往往利用Java在瀏覽器中的插件來攻擊Java的客戶端，甲骨文此次緊急更新解決了Java 7的兩個(gè)漏洞，攻擊者就是攻擊了Java中的漏洞代碼。黑客已經(jīng)知道如何利用Java的一個(gè)漏洞去安裝惡意軟件，這可能導(dǎo)致個(gè)人信息泄露，或是使用戶計(jì)算機(jī)成為僵尸網(wǎng)絡(luò)中的一員。甲骨文表示，此次曝光的漏洞僅對Java 7有影響。

2、零日漏洞仍然是一個(gè)漏洞

Java使用非常廣泛，已經(jīng)成為黑客的主要攻擊對象之一。去年Java使用率已超越Adobe公司的Reader軟件，成為最易受黑客攻擊的軟件。Oracle此次發(fā)布的更新包含了安全漏洞CVE-2013-0422的補(bǔ)丁，同時(shí)也改變了默認(rèn)的Java安全級別設(shè)置。任何未簽名的Java Applet或Java Web Start應(yīng)用程序運(yùn)行時(shí)總是會(huì)被提示，這樣可以防止惡意應(yīng)用被下載，對用戶來說這可能會(huì)帶來的影響是需要多確認(rèn)一下。

3、美國國土安全部建議：禁用Java

之前美國國土安全部稱Java帶來了風(fēng)險(xiǎn)，并建議用戶關(guān)閉軟件。盡管Oracle發(fā)布了一個(gè)Java漏洞的修復(fù)補(bǔ)丁，但該部門在當(dāng)天更新的安全注意事項(xiàng)（security note）里仍表示，Java 7的_update11實(shí)際上可能沒有限制特權(quán)代碼的訪問。禁用Java可以確保企業(yè)不受Java漏洞的侵害。

4、攻擊者仍追捧Java漏洞的攻擊

目前 Java 已經(jīng)成為了黑客的主要攻擊目標(biāo)。根據(jù)卡巴斯基實(shí)驗(yàn)室的報(bào)告，超過半數(shù)的攻擊都是針對 Java 發(fā)起的，Adobe Reader 軟件占 28% 的“攻擊份額”，Windows 系統(tǒng)和 IE 瀏覽器的份額則為 3%。

Java漏洞被網(wǎng)絡(luò)攻擊者追捧，而這里漏洞的攻擊對罪犯非常有吸引力，因?yàn)榭梢酝ㄟ^Java漏洞來攻擊可利用的目標(biāo)。

5、限制Java的管理工具

到底是啟用Java還是禁用Java？事實(shí)上，沒有使用Java可以做到百分之百的安全。但是卻可以降低被攻擊的風(fēng)險(xiǎn)。例如通過完善網(wǎng)絡(luò)架構(gòu)，IT管理員加強(qiáng)網(wǎng)絡(luò)保護(hù)等措施保護(hù)網(wǎng)絡(luò)邊界的安全。

針對企業(yè)的瀏覽器Java擴(kuò)展，可以選用第三方的策略工具，提供了一個(gè)高層次的集中管理Java環(huán)境，這種集中管理應(yīng)用程序還允許遠(yuǎn)程禁用Java，提高Java中執(zhí)行的安全性能。

6、用Java進(jìn)行基于瀏覽器的桌面應(yīng)用程序開發(fā)

黑客找到了利用Java網(wǎng)絡(luò)瀏覽器版本漏洞將惡意軟件安裝在PC上的方法，從而實(shí)施各種犯罪行為，從竊取身份證信息到利用受感染的電腦對網(wǎng)站發(fā)動(dòng)廣泛攻擊。為了使企業(yè)更容易保護(hù)Java，甲骨文可能會(huì)推出不同類型的Java系列。一個(gè)快速的解決方法就是使企業(yè)能夠在臺式機(jī)上安裝Java運(yùn)行時(shí)環(huán)境，而無需安裝瀏覽器擴(kuò)展。