關于Java的安全事件屢屢發生，黑客通過發現IE瀏覽器中Java插件的漏洞，在有漏洞的用戶計算機中安裝惡意軟件。近日甲骨文發布了Java的一個緊急更新。由于一個嚴重漏洞的曝光，美國政府數天前建議PC用戶暫時禁用Java，以免遭到黑客攻擊。

但是通過Java，可以運行客戶端桌面應用程序和向WEB瀏覽器拓展，這使得Java成為 了一枚定時炸彈，隨時爆發安全隱患。

下面我來來盤點一下Java 安全的真相：

1、安全關注：客戶端的Java

黑客往往利用Java在瀏覽器中的插件來攻擊Java的客戶端，甲骨文此次緊急更新解決了Java 7的兩個漏洞，攻擊者就是攻擊了Java中的漏洞代碼。黑客已經知道如何利用Java的一個漏洞去安裝惡意軟件，這可能導致個人信息泄露，或是使用戶計算機成為僵尸網絡中的一員。甲骨文表示，此次曝光的漏洞僅對Java 7有影響。

2、零日漏洞仍然是一個漏洞

Java使用非常廣泛，已經成為黑客的主要攻擊對象之一。去年Java使用率已超越Adobe公司的Reader軟件，成為最易受黑客攻擊的軟件。Oracle此次發布的更新包含了安全漏洞CVE-2013-0422的補丁，同時也改變了默認的Java安全級別設置。任何未簽名的Java Applet或Java Web Start應用程序運行時總是會被提示，這樣可以防止惡意應用被下載，對用戶來說這可能會帶來的影響是需要多確認一下。

3、美國國土安全部建議：禁用Java

之前美國國土安全部稱Java帶來了風險，并建議用戶關閉軟件。盡管Oracle發布了一個Java漏洞的修復補丁，但該部門在當天更新的安全注意事項（security note）里仍表示，Java 7的_update11實際上可能沒有限制特權代碼的訪問。禁用Java可以確保企業不受Java漏洞的侵害。

4、攻擊者仍追捧Java漏洞的攻擊

目前 Java 已經成為了黑客的主要攻擊目標。根據卡巴斯基實驗室的報告，超過半數的攻擊都是針對 Java 發起的，Adobe Reader 軟件占 28% 的“攻擊份額”，Windows 系統和 IE 瀏覽器的份額則為 3%。

Java漏洞被網絡攻擊者追捧，而這里漏洞的攻擊對罪犯非常有吸引力，因為可以通過Java漏洞來攻擊可利用的目標。

5、限制Java的管理工具

到底是啟用Java還是禁用Java？事實上，沒有使用Java可以做到百分之百的安全。但是卻可以降低被攻擊的風險。例如通過完善網絡架構，IT管理員加強網絡保護等措施保護網絡邊界的安全。

針對企業的瀏覽器Java擴展，可以選用第三方的策略工具，提供了一個高層次的集中管理Java環境，這種集中管理應用程序還允許遠程禁用Java，提高Java中執行的安全性能。

6、用Java進行基于瀏覽器的桌面應用程序開發

黑客找到了利用Java網絡瀏覽器版本漏洞將惡意軟件安裝在PC上的方法，從而實施各種犯罪行為，從竊取身份證信息到利用受感染的電腦對網站發動廣泛攻擊。為了使企業更容易保護Java，甲骨文可能會推出不同類型的Java系列。一個快速的解決方法就是使企業能夠在臺式機上安裝Java運行時環境，而無需安裝瀏覽器擴展。