Java 7 Update 21: Oracle usuwa kolejne dziesiątki luk i nakłada ograniczenia na aplety

Co się dzieje z tą Javą? Jedyne prawdziwie multiplatformoweśrodowisko uruchomieniowe dla aplikacji, działające na trzechmiliardach urządzeń, z armią ponad dziewięciu milionówprogramistów, nie może wyjść z kłopotów związanych zbezpieczeństwem. Oracle dwoisię i troi, wydając kolejne zbiory łatek, a mimo to liczbapoważnych zagrożeń jakoś nie maleje. Coraz więcej osób decydujesię po prostu usunąć Javę ze swoich systemów, uznając, żewcale jej tak na dobrą sprawę nie potrzebuje, JRE stanowi tylkododatkową powierzchnię ataku.Wczoraj Oracle opublikowało kolejny zbiór łatek – Java 7Update 21, eliminujący 42 podatności, z których aż 39potencjalnie pozwalałoby napastnikom na przejęcie kontroli nadsystemem, a 19 z nich otrzymało w bazie CVSS (Common VulnerabilityScoring System) ocenę 10 – przyznawaną najpoważniejszymzagrożeniom. Odkryte podatności dotyczą nie tylko najnowszej Javy,ale też i jej starszych wersji, w tym Javy 5 (Update 41) i Javy 6(Update 43). Jeśli przyjrzeć się bliżej liściezmian, to widać, że powtarza się stary schemat – najwięcejproblemów przysparza podsystem grafiki 2D, pozostałe luki rozsianesą po takich komponentach jak JavaFX, Deployment i Libraries. [img=javaskull]Jedną z recept na ograniczenie zagrożeń związanych z webowąwtyczką Javy, uruchamiającą aplety w oknie przeglądarki, jestzwiększenie poziomu restrykcji w Java Control Panel. Od zeszłego rokuużytkownicy mogą kontrolować ustawienia bezpieczeństwa za pomocąsuwaka – od niskich po bardzo wysokie. Z najnowszym zbiorem łatekustawienia „niskie” zostają usunięte – nie będzie już możnauruchamiać niepodpisanych apletów Javy bez wywołania ostrzeżenia;aplet taki będzie mógł zostać uruchomiony w maszynie wirtualnejdopiero po wyrażeniu przez użytkownika zgody. Jedynym sposobem nauniknięcie tej niedogodności jest podpisanie apletu kluczemwystawionym przez uznany urząd certyfikacyjny (CA).Wprowadzono też dwa typy ostrzeżeń dla apletów: okno dialogowedla podpisanego apletu zawiera teraz logo Javy i szczegółycertyfikatu, podczas gdy okno dialogowe wyświetlane przy próbieuruchomienia apletu bez podpisu, z podpisem nieważnym, lubwystawionym samodzielnie, prowadzi do wyświetlenia ostrzeżenia zostrzegawczym wykrzyknikiem na trójkątnej tarczy, wskazującym, żeaplet nie powinien być uruchamiany.Oracle nie zadbało jednak o jedną ważną sprawę – wciążJava nie sprawdza, czy certyfikaty nie zostały czasem wycofane, aprzecież znane są egzemplarze złośliwego oprogramowania,podpisane skradzionymi, a następnie wycofanymi kluczami. Sam faktpodpisania apletu nie powinien oznaczać, że użytkownik ma mu ufać,z drugiej strony Oracle zapewne chciało uniknąć sytuacji, w którejkażdy aplet generowałby ostrzegawcze komunikaty. W praktycewyeliminowałoby to tę schyłkową już raczej technologię webowąz Sieci.Nie można jednak przejść obojętnie wobec takich zagrożeń. Wlutym tego roku korporacyjne sieci firm takich jak Facebook, Twitterczy Apple zostały spenetrowane właśnie za pomocą nieznanejwcześniej luki 0-day we wtyczce Javy. Strat nie udało się ustalić,ale poszkodowani przyznali się do swojej wpadki i zawiadomili organyścigania. Podejrzewa się, że za atakiem stoją hakerzy z Chin, aleoczywiście nic nikomu nie udowodniono.Na Javie problemy Oracle'a się nie kończą – oprócz Update 21wydano także ponad setkę innych poprawek do produktów takich jakOracle HTTP Server, WebLogic, WebCenter, Oracle Fusion Middleware czybiznesowego oprogramowania z linii PeopleSoft czy SupplyChain. Sądzącpo komentarzach w Sieci, użytkownicy nie wydają się szczególnieszczęśliwi z tego powodu – stary, żartobliwy i niecenzuralnyklipwideo o pomocy technicznej Oracle'a wydaje się aktualny jaknigdy dotąd.Najnowszą wersję Javy możecie pobrać z naszego działu Programy.