重新看待軟體漏洞問題

Java 7的安全漏洞問題，真是歹戲拖棚。連蘋果、微軟、Facebook這些大公司，也都接連遭殃，顯示問題的嚴重性之大。

即使甲骨文公司已經數次提出修補漏洞的檔案，但資安專家卻持續發現更多漏洞，這場漏洞修補大賽，好像永無止盡。本周再度有資安專家提出兩個Java 7的安全漏洞，一開始甲骨文只承認其中一個為安全性弱點，但過沒幾天甲骨文就提供修補這兩個漏洞的修補檔。

這樣下去，Java 7到底還潛藏多少個漏洞？實在是無人能知。而且大概也沒有人會相信補完這兩個漏洞後，Java 7就沒有安全漏洞了。

其實安全漏洞這種歹戲拖棚的情況過去也上演過，Windows作業系統與PDF接二連三的安全漏洞問題，都曾經讓微軟與Adobe疲於奔命，逼得廠商不得不正視軟體安全的大問題。

近一年來，此類軟體漏洞的事件看似比較少，好像問題沒那麼嚴重了，但Java 7的安全問題一爆開，而且像是沒完沒了的連續劇，這讓我們不得不面對現實的問題：軟體的安全漏洞問題比我們想的還要嚴重，而Java 7絕對不會是最後一個。

這次Java 7安全漏洞問題，突顯了未來軟體漏洞修補將會是一個棘手的問題。過去我們習慣依賴廠商定期提供的漏洞修補檔，只要在廠商公布後儘快更新修補檔，似乎就不會發生什麼大問題，甚至有可能晚了個幾天或幾個禮拜也不會出事。但如果這個做法還是有效的，那麼蘋果、微軟、Facebook等大公司這次就不會中箭落馬了。

零日攻擊的現象越來越多，駭客發動攻擊的速度比用戶修補電腦漏洞的速度還快，這讓我們不能再如同過往般看待漏洞修補的議題。有可能你還沒來得及為全公司的電腦逐一更新修補檔，針對該漏洞的攻擊就發生了；甚至，在一些已鎖定目標對象的網路攻擊行動中，攻擊早就在廠商還沒發布修補檔之前就發生了。

以這次的Java 7的安全漏洞問題為例，事隔一個禮拜就有新的修補檔釋出，如果你負責的電腦數量眾多，而你又得逐臺更新，可能一輪還沒更新完，又有新的修補檔釋出了，那麼整天都在補這些漏洞，豈有生產力可言。

如果不想疲於奔命，那麼移除Java倒也是一個乾脆的作法。使用者電腦的瀏覽器沒有Java，就沒有Java Applet漏洞的風險了，其實許多專家正是呼籲大家這麼做，連美國的國土安全局也這麼建議。

但是，有不少企業是採用Java開發的應用程式，使用者的電腦若沒有安裝Java，就無法操作企業的應用程式了。於是，有的企業想說這次是Java 7的問題，那麼就繼續停留在舊版的Java 6，而不要更新到新版Java 7，應該就不會有問題了吧。豈知，甲骨文這次也同步釋出Java 6的修補檔，並且再度聲明是Java 6的最後一次更新，建議Java 6的使用者升級至Java 7。

由此看來，難道Java 6就保證沒有安全上的問題嗎？大概沒人說得準，而且之後Java 6不再更新，安全更是沒有保障。

所以，現今的軟體安全漏洞問題，已經變得比過往還要複雜。雖然軟體安全漏洞是廠商的問題，但以現今零日攻擊猖獗的狀況來看，若要把安全風險降到最低，在軟體安全漏洞的問題上，就必須採取更為主動的預防方法，而不能只是期待著軟體公司來解決問題。

吳其勳／iThome電腦報周刊總編輯