關(guān)于Java的安全事件屢屢發(fā)生，黑客通過發(fā)現(xiàn)IE瀏覽器中Java插件的漏洞，在有漏洞的用戶計算機中安裝惡意軟件。近日甲骨文發(fā)布了Java的一個緊急更新。由于一個嚴(yán)重漏洞的曝光，美國政府?dāng)?shù)天前建議PC用戶暫時禁用Java，以免遭到黑客攻擊。

但是通過Java，可以運行客戶端桌面應(yīng)用程序和向WEB瀏覽器拓展，這使得Java成為 了一枚定時炸彈，隨時爆發(fā)安全隱患。

下面我來來盤點一下Java 安全的真相：

1、安全關(guān)注：客戶端的Java

黑客往往利用Java在瀏覽器中的插件來攻擊Java的客戶端，甲骨文此次緊急更新解決了Java 7的兩個漏洞，攻擊者就是攻擊了Java中的漏洞代碼。黑客已經(jīng)知道如何利用Java的一個漏洞去安裝惡意軟件，這可能導(dǎo)致個人信息泄露，或是使用戶計算機成為僵尸網(wǎng)絡(luò)中的一員。甲骨文表示，此次曝光的漏洞僅對Java 7有影響。

2、零日漏洞仍然是一個漏洞

Java使用非常廣泛，已經(jīng)成為黑客的主要攻擊對象之一。去年Java使用率已超越Adobe公司的Reader軟件，成為最易受黑客攻擊的軟件。Oracle此次發(fā)布的更新包含了安全漏洞CVE-2013-0422的補丁，同時也改變了默認的Java安全級別設(shè)置。任何未簽名的Java Applet或Java Web Start應(yīng)用程序運行時總是會被提示，這樣可以防止惡意應(yīng)用被下載，對用戶來說這可能會帶來的影響是需要多確認一下。

3、美國國土安全部建議：禁用Java

之前美國國土安全部稱Java帶來了風(fēng)險，并建議用戶關(guān)閉軟件。盡管Oracle發(fā)布了一個Java漏洞的修復(fù)補丁，但該部門在當(dāng)天更新的安全注意事項（security note）里仍表示，Java 7的_update11實際上可能沒有限制特權(quán)代碼的訪問。禁用Java可以確保企業(yè)不受Java漏洞的侵害。

4、攻擊者仍追捧Java漏洞的攻擊

目前 Java 已經(jīng)成為了黑客的主要攻擊目標(biāo)。根據(jù)卡巴斯基實驗室的報告，超過半數(shù)的攻擊都是針對 Java 發(fā)起的，Adobe Reader 軟件占 28% 的“攻擊份額”，Windows 系統(tǒng)和 IE 瀏覽器的份額則為 3%。

Java漏洞被網(wǎng)絡(luò)攻擊者追捧，而這里漏洞的攻擊對罪犯非常有吸引力，因為可以通過Java漏洞來攻擊可利用的目標(biāo)。

5、限制Java的管理工具

到底是啟用Java還是禁用Java？事實上，沒有使用Java可以做到百分之百的安全。但是卻可以降低被攻擊的風(fēng)險。例如通過完善網(wǎng)絡(luò)架構(gòu)，IT管理員加強網(wǎng)絡(luò)保護等措施保護網(wǎng)絡(luò)邊界的安全。

針對企業(yè)的瀏覽器Java擴展，可以選用第三方的策略工具，提供了一個高層次的集中管理Java環(huán)境，這種集中管理應(yīng)用程序還允許遠程禁用Java，提高Java中執(zhí)行的安全性能。

6、用Java進行基于瀏覽器的桌面應(yīng)用程序開發(fā)

黑客找到了利用Java網(wǎng)絡(luò)瀏覽器版本漏洞將惡意軟件安裝在PC上的方法，從而實施各種犯罪行為，從竊取身份證信息到利用受感染的電腦對網(wǎng)站發(fā)動廣泛攻擊。為了使企業(yè)更容易保護Java，甲骨文可能會推出不同類型的Java系列。一個快速的解決方法就是使企業(yè)能夠在臺式機上安裝Java運行時環(huán)境，而無需安裝瀏覽器擴展。