Podpisane i niepodpisane aplety

Oprócz zmian związanych z samym kodem platformy, Oracle od wersji Java 7 Update 10 i Update 21 wprowadza również nowe ustawienia dla aplikacji webowych. Zmiany te zapobiegają uruchomieniu niepodpisanych lub podpisanych samodzielnie apletów. W najbliższej przyszłości Java nie będzie uruchamiać apletów, które nie są w ogóle podpisane lub podpisane przez niecertyfikowany podmiot. Podejście to ma sens, gdyż większość eksploitów wykorzystujących podatności wtyczki Java w przeglądarkach jest dostarczanych właśnie w niepodpisanych apletach. Nie będzie to jednak remedium na wszystkie problemy, gdyż przy precyzyjnych atakach przeciw wybranym celom stosowano także podpisane aplety. Eksperci do spraw bezpieczeństwa podkreślają, że ataków z użyciem podpisanego kodu będzie coraz więcej.

Aby walczyć z podpisanymi apletami zawierającymi złośliwe oprogramowanie, Oracle wprowadzi możliwość sprawdzania online ważności certyfikatów użytych do ich podpisania. Możliwość sprawdzenia listy odwołanych certyfikatów (CRL) lub odpytania za pomocą protokołu OCSP (Online Certificate Status Protocol) jest już dostępna, ale domyślnie opcje te są wyłączone.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• FBI ostrzega - masowy atak phishingowy w USA
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Nandini Ramani wyjaśnia: "Sprawdzanie certyfikatów online zostało wyłączone ze względu na potencjalny wpływ na wydajność pracy środowiska. Oracle zamierza wprowadzić usprawnienia do standardowych usług odwoływania certyfikatów, żeby w przyszłym wydaniu można było ją włączyć na domyślnych ustawieniach".

Centralnie zarządzane listy

Aby umożliwić uruchomienie firmowych aplikacji, które korzystają z niepodpisanych apletów, Oracle pracuje nad centralnie zarządzanym mechanizmem białych list.

Nadini Ramani pisze: "Dodamy do Javy nowe opcje zasad zabezpieczeń lokalnych, ustawiane przez administratorów już podczas instalacji i wdrożenia środowiska Java w całej organizacji. Dzięki tym ustawieniom będzie można ograniczyć wykonywanie apletów tylko do zaufanego firmowego środowiska, takiego jak korporacyjne serwery, usługi różnych partnerów biznesowych i niezbędne narzędzia. W ten sposób będzie można zmniejszyć ryzyko infekcji przez złośliwe oprogramowanie pochodzące z niezaufanych serwerów".

Osobno klient, osobno serwer

Mimo że podatności dotyczą głównie oprogramowania pracującego na kliencie, opinia o lukach w Javie jest przypisywana także do platformy serwerowej. Oracle rozpoczyna oddzielanie oprogramowania klienckiego od dystrybucji przeznaczonej dla serwerów. Od wydania Java 7 Update 21, JRE dla serwerów nie zawiera wtyczki do przeglądarki internetowej. By zmniejszyć zakres możliwego ataku, z dystrybucji JRE dla serwerów zostaną w przyszłości usunięte także biblioteki zbędne do pracy w takim środowisku.