研究者：Javaのセキュリティ問題はすぐに解消されない可能性がある

ハッカーは今年初めからJavaの脆弱性マイクロソフト、アップル、Facebook、Twitterなどの企業や家庭のユーザーに対して一連の攻撃を実行することができます。オラクルは脅威に迅速に対応し、Javaソフトウェアを強化する努力をしてきたが、セキュリティ専門家は、この攻撃がすぐには中止される可能性は低いと述べている。

今週、セキュリティ研究者は、最近明らかにされたMiniDuke cyberespionageキャンペーンでは、JavaとInternet Explorer 8のWebベースのエクスプロイトとAdobe Readerのエクスプロイトを使用してターゲットを妥協しました。先月、MiniDukeマルウェアは、23か国の政府機関、研究所、シンクタンク、民間企業に所属する59台のコンピュータを感染させた。

MiniDukeで使用されたJavaの悪用は、その攻撃は、カスペルスキー研究所は、ブログの記事で述べた。パッチがリリースされる前に公開または悪用された脆弱性は、ゼロデイ脆弱性として知られています。これらの脆弱性のいくつかは、今年のJava攻撃に使用されています。[

] [その他の情報：Windows PCからマルウェアを削除する方法]

マイクロソフト、アップル、Facebook、Twitterのソフトウェアエンジニアは、2月に、Javaのゼロデイ攻撃を行っていたiOS開発者のコ​​ミュニティWebサイトを訪れた後、マルウェアに感染したノートパソコンを稼働させました。

オラクルは、他の業界の政府機関や企業に影響を与えた複数のWebサイトから大規模な「ウォーター・ホール」攻撃が行われた結果、年の始まり、スケジュールされたパッチのリリースを加速することができます。また、Javaアプレットのセキュリティ制御のデフォルト設定を高くして、WebベースのJavaアプリケーションがユーザーの確認なしにブラウザ内で実行されるのを防いでいます。

セキュリティ専門家はこれは良いスタートだと言いますが、更新の採用率、および企業環境におけるJavaセキュリティ管理の管理の向上を実現します。さらに重要なのは、オラクルはJavaコードを徹底的に見直して、基本的なセキュリティ問題を特定し修正する必要があると言います。 Oracleが過去何年間もセキュリティ業界の警告を聞いていた場合、Javaがより安全になると信じています。

「オラクルの内部で何が起こっているかは過去数年間は言い切れませんが、彼らは早くも反応する可能性があります」と、コンサルティング会社のRisk Based Securityのチーフ・リサーチ・オフィサー、Carsten Eiram氏は電子メールで述べています。 「オラクルが、Javaが次の主要なターゲットとなるとの予測を真剣に受け止めているのかどうかは確信していません。」オラクルは最近の攻撃を防ぐことはできなかっただろうと述べていますが、より早く行動すればコードを保護し、より多くのセキュリティ層を追加することを望んでいる」と語った。「Javaセキュリティの現在の状態は、SunがまだJavaを所有していたときにJavaを非常に強く押し込んだことによるものだ」とグローバル調査責任者のCostin Raiuカスペルスキー・ラボの分析チームとメールで連絡します。 「オラクルがJavaを購入した後、おそらくこのプロジェクトにはほとんど関心が向けられていなかったでしょう。」Oracleは2010年にSun Microsystemsを買収してJavaを買収した。Java.comの情報によると、世界中の11億台のデスクトップコンピュータにインストールされている。広範囲にわたる展開とクロスプラットフォームの性質は、ハッカーの魅力的なターゲットとなっています。ポーランドの脆弱​​性調査会社であるSecurity Explorationsの研究者は、昨年、Oracle、IBM、Appleが管理していたJavaランタイムで55件の脆弱性を発見し、報告しています。そのうちの36件はOracle版です。「Security Explorationsの創設者であるAdam Gowdiak氏は、「2012年4月、OracleにJava SE 7に影響を及ぼす30のセキュリティ問題をOracleに報告しました。 「これは、Flashback Mac OSトロイの木馬が野生で見つかった頃と同じです。カスペルスキー・ラボは、昨年のある時点で、3人のユーザーのうちの1人が、5つの主要な悪用方法の1つに脆弱なJavaバージョンを実行していたと報告しています。ハッカー。ピーク時には、60％以上のユーザーが脆弱なJavaバージョンをインストールしていました。

Chrome、Flash Player、Adobe Readerおよびその他のソフトウェアに見られる自動更新メカニズムをサイレントにすると、消費者にとって役に立ちます。しかし、企業はおそらくそのような機能を無効にするだろう、と彼は述べた。

12月にリリースされたJava 7 Update 10から、OracleはJavaコントロールパネルに新しいオプションを提供している。 Javaアプレットが実行される前に確認を求めます。Java 7 Update 11以降、このメカニズムのデフォルト設定は「高」に設定されているため、署名なしのJavaアプレットはユーザーの確認なしに自動的に実行されません。オラクルが適切な方向に進んでいることを示しています」と脆弱性管理およびポリシー準拠製品を販売するQualysのCTO、Wolfgang Kandekは述べています。

「Javaのホワイトリスト機能を歓迎します。つまり、承認されたすべてのサイトでアプレットのメカニズムを使用することを禁止します。これは、 "カンデックは言った。 「同時に、WindowsのGPO [Group Policy]を介したJava構成機能の集中管理を改善する必要があります。」Kandek氏は、他のソフトウェア企業と比較してJavaを攻撃に対して強化するための大きな課題に直面していると考えています自社の製品。 「Javaは、完全なプログラミング言語であり、低レベルのオペレーティング・システム・タスクを含む、全面的なアクションを実行する必要があります。」と述べています。つまり、EiramとGowdiakは、Javaコードの品質を向上させる必要があると述べています

「ソフトウェアベンダーは特定の品質の安全なコードを提供する責任があり、Flash PlayerやJavaなど広く普及しているソフトウェアのベンダーには言い訳がありません」アイラムは言った。 「Adobeはこれを認識し、コードを改善するために真剣かつ成功裏に努力しました。マイクロソフトは何年も前に同じことをしました。 Oracleの開発者がJavaのセキュリティ上の落とし穴を認識しておらず、コードセキュリティレビューが十分に行われていないか、または十分に包括的でないという兆候があります」とGowdiak氏は述べています。セキュリティエクスプロレーションで特定された問題の多くは、オラクル独自のセキュアなJavaコーディングガイドラインに違反していると同氏は述べています。「

」の前にプラットフォームの包括的なセキュリティレビューの時点で、

Oracleは、基本的な脆弱性を排除し、コードの成熟度を高めるために、Javaのための堅実なセキュア開発ライフサイクルを実装すべきである、とEiram氏は述べています。 SDLは、コードセキュリティレビューを重視し、脆弱性を軽減するための開発慣行を確保するソフトウェア開発プロセスです。

最良のアプローチは、マイクロソフトのように内部トレーニングセッションを開催し、開発者が適切に訓練されていることを確認することです外部監査人の助けを借りて、Eiramは言った。 「オラクルは、とにかくコードを見ている熟練した研究者の一部と契約しているかもしれない」と話した。

オラクルは、Javaのパッチ適用サイクルを4ヶ月から2ヶ月に短縮し、消費者、ITプロフェッショナル、プレス、セキュリティ研究者を含むすべてのユーザーJavaセキュリティアップデートとセキュリティ上のオラクルの通信不足の間には長い間の長い間隔が長い間批判されています。

「国民と報道機関とのより良いコミュニケーションの約束を守ることができるかどうかを知ることは面白いだろう。以前は、私の意見では、明らかに傲慢であり、報告された脆弱性やその妥当性についてもコメントすることを拒否していました」とEiram氏は話しています。外部から報告された脅威が本当であるのか、それともオラクルが何をしているのかを知らないという結果になったという。セキュリティ・エキスパートは、これまでの千年紀に属しています」と述べています。

セキュリティ専門家は、近い将来、決定された攻撃者を阻止する方法でOracleがすべての問題を解決するとは考えていません。 Javaのセキュリティ上の問題はいつでも終わります」とEiram氏は述べています。 「ボートを回すにはMicrosoftとAdobeの両方がしばらくかかっていましたが、その製品は現在でもゼロデイに晒されています。 Javaは攻撃者を提供することがたくさんあるので、今のところ彼らに焦点を当てておくことを期待しています。」とKandekは言っています。 「IT管理者は、デスクトップ上でJavaが必要な場所と制限できる場所を理解するために時間を費やす必要があります。」セキュリティ専門家は、Javaが少なくともブラウザレベルで必要とされない場所では無効にする必要があることに同意します。多くのユーザーは、Javaがコンピュータにインストールされていることさえ知らない。これはおそらく、GoogleとMozillaがChromeとFirefoxのJavaプラグインを制限した理由だとRaiu氏は言います。

AppleはMac OS X上でJavaプラグインの脆弱バージョンもブラックリストに載せています。信頼できるウェブサイトへのInternet Explorer。

多くのホームユーザーはブラウザにJavaを必要としませんが、世界の一部の人々は可能性があります。例えばデンマークでは、オンラインバンキングや政府のウェブサイトでは、NemIDというJava対応のログインメカニズムを使用しています。他の国でも同様のケースが存在する可能性があります。

ChromeやFirefoxのClick-to-Play機能やIEのZonesメカニズムを使用すると、Javaコンテンツを特定のWebサイトから読み込ませることができます。あまり技術的でない解決策は、一般的なタスクではJavaを無効にしたブラウザを1つ使用し、Javaサポートが必要な信頼できるWebサイトではJavaを使用する別のブラウザを使用することです。

企業環境でのJavaの使用を制限することは難しい多くの企業では、Javaブラウザプラグインを実行する必要がある内部および外部のWebベースのアプリケーションを使用しています。

「Javaをより詳細に設定できるようにすることは、IT管理者が組織の要件に合った適切な方法でJavaを導入するのに役立ちます」とKandek氏は述べています。 「既定のセキュリティレベルが高く、ブラウザから簡単に切断できるのは良いスタートだが、私はブラウザやJavaプラグインのホワイトリスト機能を改善する必要があると考えている。」現時点では、IEのゾーンメカニズムKandek氏によると、Microsoft、Facebook、Apple、Twitterのセキュリティ侵害を招いた最近のJavaベースの攻撃の波は、Javaの評判は、アイラムが言った。しかし、企業がJavaを安全かつ安心できると確信していた場合、彼らはしばらくの間、研究者から提供された豊富な警告に注意を払っていませんでした」と彼は言いました。

Javaの評判は損なわれているだけではありません。 Gowdiak氏によると、Eiramは、最近の攻撃が企業にJavaを環境に必要としているかどうか再評価させることを期待していると主張している企業もある（

）。純粋なHTML5ベースのアプリケーションに移行し、Flash、Silverlight、Javaなどのプラグインから移行しています」とKandek氏は述べています。 「Javaは、強力な処理能力が絶対に必要とされるサーバー側で成長し続けるでしょう」。