Rumah Jam keamanan Oracle berjanji keamanan java yang lebih baik

Oracle berjanji keamanan java yang lebih baik

Video: | Invoking Java Program in PLSQL | Executing Java program in Oracle | PLSQL Wrapper method | (Desember 2024)

Video: | Invoking Java Program in PLSQL | Executing Java program in Oracle | PLSQL Wrapper method | (Desember 2024)
Anonim

Mengingat kerentanan baru-baru ini ditemukan di Jawa dan kekhawatiran yang sedang berlangsung tentang keamanan keseluruhan teknologi, Oracle telah berjanji - sekali lagi - bahwa itu akan memperbaiki masalah.

Oracle telah membuat beberapa perubahan pada Java dan sedang mengerjakan inisiatif baru untuk meningkatkan keamanan, tulis Nandini Ramani, kepala pengembangan Java di Oracle, dalam posting blognya pada hari Jumat. Setelah serangkaian serangan berbasis web profil tinggi menargetkan karyawan di berbagai industri, Orace berjanji untuk mengatasi masalah mendasar di lingkungan lintas platform.

Dua dari perubahan yang diuraikan dalam pos Ramani, termasuk pembaruan untuk model keamanan applet dan perilaku default plugin Java, sudah berjalan. Perubahan lainnya, seperti bagaimana aplikasi Java menangani sertifikat yang dicabut, menerapkan kebijakan keamanan lokal untuk membuat aturan khusus, dan membatasi perpustakaan yang tersedia untuk aplikasi sisi server, sedang dalam pengembangan. Ramani tidak menunjukkan kapan pembaruan ini akan tersedia.

Bagaimana dengan Kotak Pasir?

"Secara keseluruhan, ini adalah hal yang baik untuk Jawa, tetapi perubahan ini tidak menyelesaikan masalah mendasar dengan kotak pasir Java itu sendiri, " HD Moore, kepala peneliti Rapid7 dan pencipta kerangka pengujian penetrasi Metasploit, mengatakan dalam sebuah email ke SecurityWatch.

Kotak pasir Java adalah area yang dilindungi di mana aplikasi dijalankan, terpisah dari sistem yang mendasarinya. Sandbox seharusnya menangkap executable berbahaya sebelum mereka dapat mengambil alih mesin atau membajak proses yang berjalan. Namun, penyerang telah berhasil mengeksploitasi beberapa kerentanan untuk memotong kotak pasir Java.

"Sampai Oracle mengimplementasikan kotak pasir tingkat proses, seperti yang digunakan oleh Adobe Reader dan Google Chrome, applet jahat dengan tanda tangan yang valid masih dapat menyalahgunakan kelemahan keamanan JRE untuk melarikan diri dari kotak pasir dan membahayakan sistem, " kata Moore.

Perubahan Sejauh Ini

Oracle memperbarui model keamanan baru-baru ini sehingga pengguna dapat menjalankan applet yang sudah ditandatangani tanpa memberikan hak istimewa tambahan dan memblokir applet yang tidak ditandatangani agar tidak berjalan. Ini berarti hanya menandatangani applet tidak lagi secara otomatis memberi program kemampuan untuk keluar dari kotak pasir.

"Ini adalah hal yang baik untuk keamanan, " kata Moore.

Hal baik lainnya adalah fakta bahwa pengaturan keamanan plug-in default sekarang mencegah applet yang tidak ditandatangani atau ditandatangani sendiri. Perubahan itu sekarang memungkinkan untuk membuat daftar putih situs Web tertentu dan mengelola kebijakan keamanan Java secara terpusat di perusahaan, kata Moore.

Dan Segera Hadir...

Saat ini, Java mendukung Daftar Pencabutan Sertifikat (CRL) dan Protokol Status Sertifikat Online (OCSP) untuk memverifikasi apakah sertifikat yang ditandatangani masih valid. Namun, karena pemeriksaan tidak dilakukan secara default, bahkan jika sertifikat telah dicabut, penyerang akan dapat terus menggunakan sertifikat buruk itu. Oracle merencanakan pembaruan yang akan memungkinkan pemeriksaan secara default.

Kebijakan Keamanan Lokal yang akan datang memberi administrator kontrol tambahan atas pengaturan kebijakan, seperti membiarkan administrator sistem menentukan komputer mana yang menjalankan applet Java dan komputer mana yang tidak bisa.

Meskipun semua uji coba Java baru-baru ini mempengaruhi applet yang berjalan di browser Web, Oracle juga mencari cara untuk memastikan aplikasi sisi server tetap aman, kata Ramani. Satu perubahan akan menghapus perpustakaan tertentu yang tidak diperlukan di sisi server untuk mengurangi permukaan serangan.

Jadwal Baru untuk Pembaruan

Oracle juga akan memperbarui Java sedikit lebih sering. Saat ini, Java diperbarui tiga kali setahun, mengikuti jadwal pembaruan terpisah dari semua produk Oracle lainnya. Pembaruan Patch Kritis triwulanan akan mulai termasuk perbaikan Java pada bulan Oktober, kata Ramani. Oracle masih akan merilis pembaruan darurat, "out of band, " bila perlu.

Mempertimbangkan bahwa CPU sudah merupakan upaya intensif waktu untuk administrator, menambahkan Java ke dalam campuran hanya membuat pembaruan menjadi lebih besar. Di sisi lain, itu berarti administrator tidak harus mengingat jadwal pembaruan Java yang terpisah.

Oracle berjanji keamanan java yang lebih baik