2013年1月12日 星期六

[教學] 關閉瀏覽器Java Applet 功能避免安全漏洞

圖片來源:java security exploit

[2013.01.14 Update:可以更新Java SE 7 Update 11 Released 解決這個問題]

昨天看到許多看起來恐怖的新聞標題(例如:Inside:Java 出現重大安全漏洞,美國國土安全部呼籲全球使用者停用奇摩新聞:美國土安全部警告:Java爆重大安全漏洞!任何PC恐遭攻擊 應立即停用),寫的好像電腦裝了 Java 就會被入侵,那這樣全世界成千上萬的系統都是用Java寫的那不就慘了!? 但是實際去 CERT網站 -  Java 7 fails to restrict access to privileged code,說嚴重其實也沒那麼嚴重啦 (老師有交代危險的網站不要亂逛~:P)

原來主要的原因是由JRE plug-in provides its own Security Manager 造成的漏洞,會使不被信任的untrusted Java applet 取得權限完整的存取權限,進而去做壞事,那到底怎樣的系統容易出問題?會被拿來幹什麼是?根據CERT網站的描述:
By convincing a user to visit a specially crafted HTML document, a remote attacker may be able to execute arbitrary code on a vulnerable system. Note that applications that use the Internet Explorer web content rendering components, such as Microsoft Office or Windows Desktop Search, may also be used as an attack vector for this vulnerability.

簡易解決方法就是關閉瀏覽器Java Applet 或是 Java Plugin,因為其實真的很少用到:

  • Chrome – 再URL列輸入 “chrome://plugins/” . 你可以看到所有被enabled 的Plugin, 找到Java然後把它關閉.
  • Firefox – 從 工具( Tools) > 附加元件(Add-Ons) . 在 Plugins 到到Java 然後關閉它 [1]
  • Safari –  從 Safari > Preferences. 到 Security 設定把“Enable Java”的選項勾掉. (但是要注意 Safari 因為他跟作業系統已經綁的很緊密,所以其實還是有一定程度風險)
  • IE - 你還還在用IE啊?....XD

進階解決方法:

在安裝JRE的時候透過參數設定 (WEB_JAVA=0 ) 關閉在瀏覽器使用Java
Oracle:Setting the security Level of Client


只是恐嚇沒有提出解決方法的文章是不道德的~~╮(︶︿︶)╭

誤人子弟的教學文更是不道德~~所以如果我有寫錯還請指教~~(抖)

Reference:
[1] How to turn off Java applets (FireFox)



張貼留言