Java:不用就卸載吧!
編者按:在《2010年10月編程語言排行榜》里我們詳細向大家介紹了Java的混亂。盡管混亂的Java政治世界已經讓我們厭煩,但是不可否認,Java依舊是最受關注的編程語言,Java的前景依舊被很多人看好,尤其是互聯網巨頭們:10月13日,Oracle和IBM這對老冤家宣布將在OpenJDK方面進行合作。這兩家公司表示,它們要使OpenJDK社區成為開源軟件“Java企業版”的主要開發陣地。兩家公司的合作將集中在Java語言、Java開發工具和Java運行時間環境等方面。但是Java已經萬無一失了嗎?Java在各版本的更新及時嗎?一名外國的開發者Michael Horowitz在自己的博客中告訴你:“Java不用就卸載吧!”全部譯文如下:
我前兩天曾寫過一篇文章探討了在計算機上安裝Java的好處和不利影響,我并沒有任何偏見,只是為了分享我的一點經驗而已,任何將Java視為一杯咖啡的人都不應該在他們的計算機上安裝它。
最重要的一點是,那些不懷好意的人喜歡利用舊版本Java中的漏洞在你的計算機上安裝惡意軟件,微軟的Holly Stewart在她們的惡意軟件保護中心博客上發文表示,Java漏洞利用達到了前所未有的頻繁程度,微軟發現的Java漏洞經常被利用,即使很久以前就發布了修復補丁,但很多人卻置之不理。
Secunia公司發布的2010年上半年安全報告寫道:
“許多廠商提供的部署和更新機制非常有限,包括流行廠商在內,在很大程度上忽略了最終用戶PC上的程序升級,粗暴地將問題甩給最終用戶,大多數廠商沒有采取切實有效的措施保護他們的用戶,一般都會等到爆發大規模攻擊時才會提供幫助,但殊不知這時行動會大大地影響到企業的聲譽。”
“通常,用戶要么不知道升級,要么被復雜的升級過程和頻繁程度所嚇倒。從攻擊者角度看,針對第三方程序的攻擊被證明是一種有效的途徑,并且被發現的幾率很小,給黑客活動留下了充足的時間,因此逐漸成為攻擊者的最愛,那些原以為給系統打上所有補丁就安全的用戶大錯特錯,第三方軟件的漏洞還未引起人們的足夠重視。”
糟糕的是Oracle和微軟未聯手在Windows Update中包含Java更新,在Linux世界中,軟件更新機制非常簡單,就是一條規則,但這在Windows中是不可想象的。
Google在它的Chrome瀏覽器中嵌入了Flash和PDF閱讀器,據說將來還會將Java也添加進來,這無疑是開放了一個更大的安全缺口。
在這份報告中,Secunia發現他們分析的計算機中89%都安裝了Java,難怪有人會攻擊它,正所謂樹大招風。
攻擊者使用Java作為他們的攻擊目標另一個原因是,Java小程序是在Web頁面中運行的,這就意味著瀏覽一個網頁就有可能被感染,攻擊者并不需要誘騙受害者打開附件或安裝偽裝的解碼器。
我看過Java利用的一手資料,在我寫完前一篇博客時,有人給了我一臺已感染的Windows XP計算機,讓我幫助清除其中的病毒和木馬,根據ESET的在線病毒掃描結果顯示,其中一個惡意程序叫做“Java/TrojanDownloader.Agent.NBU trojan.”,如下圖所示。
圖 1 ESET掃描結果
ESET掃描結果顯示,惡意軟件位于C:\Documents and Settings\userid\Application Data\Sun\Java\Deployment\cache\6.0\文件夾,這臺計算機安裝了兩個舊版本Java,可見未打補丁的Java是很容易被瞄上的。
Java可以自助更新,但默認情況下,每個月才檢查一次更新,你應該將其改為每天或每周檢查。
在這臺Windows XP電腦上,我將所有舊版本全部卸載,然后全新安裝最新版本的Java(Java 6 update 22),但我發現其自動更新居然是每月的0號進行,如下圖所示。
圖 2 Java自動更新設置
最重要的是,檢查更新的程序(jusched.exe)已不再隨系統啟動而啟動,因此談自動更新是一件荒謬的事,如果連升級程序都不啟動,談何更新呢?
如果你安裝了Java,請檢查版本是否低于Java 6 update 22,不知道怎么檢查,那直接訪問JavaTester.org這個網站吧。
使用Java的Mac用戶在這方面就處于不利地位了,因為Oracle通常只會發布Windows和Linux版本的Java更新,至于為什么我也不明白,只有蘋果自己為Mac發布Java更新,但從歷史上看,其更新速度遠遠落后于Oracle。
至此,如果你想保護好計算機,那最好卸載Java,如果你需要它,你可以隨時重新安裝它。
如果你的軟件需要某個版本的Java支持,最好考慮仔細一點,因為你可能正在朝危險走去,特別是越舊的版本,危險越大。
原文出處:http://blogs.computerworld.com/17191/java_use_it_or_lose_it
原文名:Java: use it or lose it
作者:Michael Horowitz
【51CTO譯稿,非經授權謝絕轉載,合作媒體轉載請注明原文出處、作者及51CTO譯稿和譯者!】
【編輯推薦】
