Java曾经是web的一个重要组成部分,但在过去几年中,它的受欢迎程度有所下降。大多数现代浏览器默认情况下都会阻止Java,大多数家庭用户不再需要安装它。
我们早就听说Java是台式计算机,尤其是Windows中最不安全的软件。但这仍然是真的吗?让我们深入了解一下。
Java成为如此流行的攻击目标的主要原因是它的广泛性。因为Java是为最大的兼容性而设计的,所以它可以在许多设备上运行。除了电脑之外,Java还支持蓝光播放器、打印机、停车支付系统、彩票设备等等。它与隐秘的安全性相反:一个主要的平台为攻击提供了最好的回报。
当然,我们关心的是桌面上的Java。在这里,最糟糕的缺点是Java不会自动更新自己。与大多数其他现代程序不同,Java只要求用户在可用时安装更新。更糟糕的是,默认情况下,Java只每周检查一次更新,甚至每月检查一次。对于一个有这么多安全漏洞的应用来说,这是危险的。
许多人看到更新提示而忽略它,导致他们运行的是过时的Java版本。而且,随着新版本的定期提供,即使是那些安装了一些更新的人也可能会感到沮丧,并忽略了进一步的更新。在某些情况下,即使用户安装了新版本,也会保留安装的旧版本。这就扩大了它们易受攻击的范围。
当然,我们不能忘记Java的长期传奇,包括可怕的Ask工具栏。每次安装或更新Java时,都必须记得取消选中一个框,否则它会包含那块垃圾。虽然这不是一个漏洞,但却给用户留下了不好的印象。
这就是Java过去的问题所在,但是最近呢?
2017年10月,Veracode发现[不再可用]88%的Java应用程序至少包含一个易受攻击的组件。2016年初,甲骨文宣布,甚至Java安装程序也存在漏洞。如果攻击者将具有特定名称的DLL文件放在下载文件夹中,则在运行Java安装程序时会触发感染。一般来说,由于Java的流行,你只需要访问一个被破坏的网站,这个网站利用了你过时的Java拷贝而被感染。
虽然这意味着Java远不安全,但也有好消息。2016年初,甲骨文宣布计划在JDK9中弃用Java浏览器插件(这是大多数问题的根源),该插件现已上市。现代浏览器也把Java抛在了后面。Chrome在2015年末放弃了对Java的支持,Firefox在2017年初停止了对Java的支持。微软的边缘浏览器,包括Windows10,根本不支持Java。
这意味着,如果您真的需要在浏览器中使用Java,您必须坚持使用Internet Explorer。
既然Java的流行度正在下降,那么它作为最不安全的桌面软件的位置又是什么呢?
Flexera的最新数据来自2017年第1季度,数据显示,普通PC上有7.8%的程序已经到了生命的尽头。根据市场份额乘以未打补丁的用户百分比,它将十大最受关注的程序排在前十位:
这张单子可能会让你大吃一惊。虽然Java不是风险最大的程序,但它仍然是第二个。其他我们通常不会与安全风险联系在一起的程序,比如VLC和Malwarebytes,也占有一席之地。这说明了保持所有软件更新的重要性,而不仅仅是流行的软件。
我们可以通过查看Avast的2017年第3季度安全报告了解更多信息。它列出了用户电脑上最过时的十大程序:
当你加入旧版本时,Java似乎仍然是更新最少的软件中的佼佼者。Adobe的插件也是罪魁祸首,我们看到iTunes和VLC也榜上有名。
相反,根据TechRadar的说法,Chrome在更新的应用程序中排名靠前。调查显示,88%运行Chrome的用户安装了最新版本。这说明了与Java和Adobe运行时使用的唠叨更新提示相比,静默自动更新有多么大的不同。
更新的另一个重要组成部分是操作系统更新。请记住,在2017年年中,安装了自动更新的用户免受了可怕的勒索软件攻击。即使你保持像Java这样的软件是最新的,如果你不安装Windows更新,你的计算机仍然有风险。
windows10使这些自动更新变得容易,但windows7上的那些可能已经禁用了它们。而那些在windowsxp使用寿命结束近四年后仍在使用的用户正将自己置于重大风险之中。
综上所述,我们还能说Java是台式机最大的安全风险吗?不是真的。消极的一面是,人们仍然继续运行过时的Java版本,即使他们真的不需要它。这会使他们暴露出安全漏洞。然而,由于大多数浏览器不再支持Java,它们不再像以前那样容易受到攻击。
你电脑安全性的薄弱环节来自最受欢迎的软件,你不更新。如果您有最新版本的Java,但仍然没有卸载Windows不支持的QuickTime,这将是一个很大的风险。拥有过时版本的Flash、Adobe Reader或iTunes也会让您打开攻击的大门。
我们可以从上面的数据中得知,没有自动更新的程序通常是最不安全的。例如,iTunes经常要求用户更新,这很烦人。这会导致人们忽略这些更新,而安装不安全的版本。
上面我们重点讨论了Java for Windows,但值得一提的是,这对Mac和Linux用户的影响。
令人惊讶的是,虽然苹果不允许Safari默认运行插件,但浏览器仍然支持Java和Silverlight等老插件。除非出于特定原因需要,否则应该在Mac上卸载Java,但Java并没有像在Windows上那样给Mac用户带来太多问题。最近,macOS上的大多数安全漏洞都是由于苹果自己的疏忽。
Linux也没有发现任何独特的Java漏洞。如果您需要在Linux上支持Java的浏览器,可以尝试Firefox的ESR(ExtendedSupportRelease)版本。Firefox为业务环境提供了这个版本;它提供了最新的安全更新,但要等更长的时间才能推出功能更新。当前版本52支持Java和其他遗留插件,将在2018年第二季度推出。
好消息是你不需要再安装这些潜在危险和恼人的插件了。很少有网站使用Java,人们安装Java的主要程序Minecraft现在包括一个安全的Java捆绑版本。其他插件也不是必需的。微软几年前就否决了Silverlight,你很难找到一个包含Shockwave内容的网站。
Flash是唯一的例外。由于它的流行,大多数浏览器仍然支持它,但Adobe将在2020年淘汰它。在此之前,请注意确保你的电脑上更新Flash。Chrome会自动更新,所以你甚至可能不再安装它(这很好)。
所以简而言之:Java仍然不安全,但由于浏览器禁用了它,所以风险较小。您应该卸载不需要的程序(包括旧插件),保持计算机上的软件更新,并应用操作系统更新。如果你这样做,你就会富裕起来。
图片来源:avemario/Depositphotos
...有成为一个安全问题,而是由Mojang重建(微软收购后)。现在每个平台都有专门的版本。 ...
...装包不兼容。你的安卓平板电脑怎么样?苹果**?PS4?你为什么不能把那软件带到你喜欢的地方去用呢?让我们来探索一些不同的障碍,实现“买一次,跑一次”的梦想 ...
... 如果您感兴趣的话,我们已经进一步研究了为什么Java现在没有那么大的安全风险。 ...
...的是,勒索软件编码人员已经变得明智的这种防御,备份现在可以加密和锁定,直到支付赎金。 ...
...专用VPN是一个更安全的选择。请参阅我们的文章,了解您为什么要使用VPN以及要使用的最佳和最可靠的VPN。 ...