Tényleg el kell távolítanom a Javát az összes Windows 7-es gépemről, ahol az MSE és a Chrome fut?
Richard (Twitteren keresztül)
Szerintem mindenki távolítsa el a Javát az összes PC-ről és Mac-ről, és utána gondosan gondolja át, hogy vissza kell-e vennie. Ha tipikus otthoni felhasználó vagy, akkor valószínűleg meg tudsz lenni nélküle. Ha üzleti felhasználó vagy, akkor lehet, hogy nincs más választásod. Sok vállalat használta a Java nyelvet szervereken futó üzleti alkalmazások fejlesztésére, és ez a “szerveroldali” Java biztonságos. A webböngésző-bővítményeken keresztül futó “kliensoldali” Java az, ami nem biztonságos.
Megjegyzendő, hogy a Java-nak semmi köze a JavaScripthez, amely egy másik, weboldalak és alkalmazások fejlesztésére használt nyelv. A JavaScriptet eredetileg egy másik cég (Netscape) fejlesztette ki más néven (LiveScript). A nevet marketing okokból változtatták meg, ami mindkét érintett vállalatot kegyvesztetté tette, és egyik sem maradt fenn.
A Java idén néhány “nulladik napi” sebezhetőség miatt került a hírekbe, amelyeket a rosszindulatú programok írói használtak ki. (A zéró nap azt jelenti, hogy a lyukhoz nincs javítófolt, így a felhasználók nem tudnak védekezni a szoftverük frissítésével). Ez tavaly augusztusban is megtörtént, és a The Register a következő cikket közölte: Disable Java NOW, users told, as 0-day exploit hits web.
A Microsoft Security Intelligence Report Volume 10 (PDF) szerint 2010 harmadik negyedévében a Java vált a rosszindulatú támadások fő eszközévé, amikor ezek száma 14-szeresére nőtt. A dolgok még rosszabbra fordultak, és a Kaspersky, az egyik vezető vírusirtó cég 2012-t a Java sebezhetőségek évének titulálta. Ezt írta: “A Java biztonsági rések a támadások 50%-áért voltak felelősek. A Windows komponenseket és az Internet Explorert csak az incidensek 3%-ában használták ki”. Igen, ennyire rossz a helyzet.
A Java-t ezért felesleges biztonsági kockázatnak tartom, és már évekkel ezelőtt eltávolítottam az otthoni PC-kről. Volt néhány dolog, amit már nem tudtam futtatni, mint például a KeepVid a YouTube videók letöltéséhez és néhány ASDL sebességteszt, így alternatívákat kellett találnom. Javaslom, hogy ön is így tegyen. Java nélkül élni sokkal kisebb kihívás, mint Adobe Flash nélkül.
Minden programban vannak hibák és lehetnek biztonsági rések, akkor miért ez a drákói megközelítés? Sajnálom, hogy ezt kell mondanom, de nem bízom eléggé az Oracle javítási képességében. Az Oracle nem írta a Javát, csak megörökölte, amikor megvásárolta a csődbe ment Sun Microsystems-et, és a The Register szerint: “A Metasploit alapítója, HD Moore figyelmeztetett, hogy az Oracle még mindig olyan Java-hibák hátralékán ül, amelyek foltozása akár két évig is eltarthat, még új hibák felfedezése nélkül is.”
Az Oracle jól el tudja adni a nagyvállalatoknak a magas árú termékeket, de a Java esetében akár egymilliárd nem fizető fogyasztóval kell foglalkozni. Véleményem szerint az Oracle megkésett válasza a közelmúltbeli “valóságos médiatűzviharra” nem a megfelelő hangot üti meg a fogyasztók védelmében. Úgy tűnik, inkább a profittermelő szerveroldali és beágyazott Java üzletágak védelmével foglalkozik.
Azzal kezdje tehát, hogy minden böngészőjében letiltja a Java-t. Az Internet Explorer 8-ban például válassza az Eszközök, majd a Kiegészítők kezelése menüpontot, a Google Chrome-ban pedig írja be a címsorba a chrome://plugins parancsot. A Sophos Naked Security blogján a legtöbb népszerű böngészőhöz talál utasításokat.
A Windows Vezérlőpulton keresztül megtalálható Java egyéb verzióinak eltávolítását is javaslom. Lehet, hogy három vagy négyet is talál: tapasztalataim szerint a Java régi verzióit nem mindig távolítják el. Ezután futtasd le az ingyenes CCleaner programot, hogy eltakarítsd a hátramaradt biteket. (Ha nincs CCleaner programja, töltse le a piriform.com-ról, nem pedig valami átverős oldalról vagy egy Google-hirdetésből.)
A következő lépésként lépjen fel a java.com weboldalra, és kattintson a “Do I have Java?” linkre. A válasznak nemnek kell lennie.
A Java újratelepítése
Ha tudja, hogy a Java-t mindenképpen telepítenie kell, akkor most elvégezheti a legújabb verzió tiszta telepítését, vagy a Java 6-tól a 39. frissítésig, vagy a Java 7 Update 13-ig. A Java 6 kifutóban van, és nem lesz többé frissítve. Néhány vállalat ragaszkodik hozzá, valószínűleg a Java 7 szörnyű biztonsági hírneve miatt, de a legtöbb sebezhetőséget ugyanazok a sebezhetőségek tartalmazzák. A Mac-felhasználóknak frissíteniük kell a Mac OS X-hez készült Java 7 Update 13-ra.
Ha nem biztos benne, hogy szüksége van a Java-ra, próbálja ki a számítógépét néhány hétig, hogy megnézze, meg tud-e birkózni nélküle. Minden olyan weboldalról, amelyhez Java böngésző plug-inre van szükség, értesítést fog kapni. Ezt azonban a java.com webhelyről kell telepítenie, mert egyes rosszindulatú programok úgy tesznek, mintha a Java 11-es frissítése lenne.
Csak egyetlen webböngészőbe telepítse a Javát, és ezt a böngészőt csak a Java webhelyekre használja. Ha például általában az IE vagy a Chrome böngészővel böngészik az interneten, telepítse a Java bővítményt a Firefox vagy az Opera böngészőbe, vagy fordítva. A Java-t támadások érik, és a Java egyetlen böngészőre való korlátozása minimálisra csökkenti a “támadási felületet”.
Amellett, ha telepíti vagy frissíti a Java-t, tegye ezt óvatosan. Az Oracle megpróbálhat más olyan szoftvert is telepíteni, amit biztosan nem akar, például az Ask eszköztárat. A ZDNet munkatársa, Ed Bott és a Harvard Business School munkatársa, Ben Edelman elemezte a problémát az A close look at how Oracle installates deceptive software with Java updates. Ne bukjon le.
Java a Maceken
A Java egy cross-platform rendszer, így a Windowson kívül más operációs rendszereken is jelen lehetnek ugyanazok a sebezhetőségek. Az Apple-felhasználók is szenvedtek. 2010-ben például megjelent a Koobface féreg Mac OS X verziója. A tavalyi Mac Flashback trójai miatt több mint 600 000 fertőzött Mac került egy botnetbe, köztük 274 az Apple szülővárosában, Cupertinóban.
Az Apple az OS X 10.7 (Lion) operációs rendszerben már nem tartalmazza alapértelmezés szerint a Java-t, és csak az XProtect szoftverrel blokkolta a Java aktuális verzióit, amíg azokat be nem javították. Gyakorlatilag rosszindulatú szoftverként kezelte a Java-t. Ez megvédte az ügyfeleket, de nem mindenki volt elégedett. Miután a MacWorld UK beszámolt a történetről (Apple bans Java from Macs, businesses that rely on Java bereft), Karen Haslam szerkesztő a Twitteren viccelődött: “Sajnos mi is az egyik érintett vállalkozás vagyunk… talán az Apple nem akarja, hogy a sajtóhoz forduljunk!”
Az InfoWorld magazin panaszkodott, hogy az Apple Java szabotálása rossz informatikai üzlet. Mivel az Apple egy szórakoztatóelektronikai cég, nem hiszem, hogy túlságosan zavarja a vállalati informatika.”
Extra óvintézkedések
Szerintem mindenki szabadon futtathat olyan operációs rendszert és alkalmazásokat, amilyeneket szeretne. Azonban tisztában kell lennie azzal, hogy a Java futtatása a böngészőben extra kockázatot jelent, ezért extra óvintézkedéseket kell tennie.
(1) Mindig a Java legújabb verzióját futtassa, és győződjön meg róla, hogy az összes javítást telepítette. Jelenleg ez azt jelentheti, hogy hetente vagy akár naponta ellenőrizze a frissítéseket. Ezt a Secunia Personal Software Inspector programjával teheti meg. (Én nem bíznék a Java beépített frissítőjében.)
(2) Futtasson extra ellenőrzéseket a rosszindulatú programokra a már telepített vírusirtótól eltérő vírusirtó termékkel, különösen, ha az MSE (Microsoft Security Essentials). Két jó ingyenes önálló ellenőrző program a Malwarebytes AntiMalware és a Kaspersky Security Scan.
(3) Készítsen napi biztonsági mentéseket, és tartson egy klónt a merevlemezéről. A PC-k olcsók, de az adatok pótolhatatlanok lehetnek.