緊急應變Java漏洞的3作法

由於駭客是藉由惡意Java Applet來攻擊使用者電腦，因此包括如US-CERT、Twitter及許多資安專家，都呼籲使用者立即關閉電腦上的Java Applet功能，以阻絕駭客入侵的管道。對於還未建立完整資安防護系統的企業而言，關閉員工電腦的Java Applet是最迅速的應急方法。然而，有些企業內部平臺本身就包含了Java Applet的布署，關閉Java Applet，無異於摧毀員工的部份生產線。

此外，企業外部網路，諸如健保局、許多金融機構與政府機關的網頁應用程式，也都是以Java Applet撰寫而成，關閉Java Applet便無法使用這些服務。因此可以參照趨勢科技的建議，關閉常用瀏覽器的Java功能，並讓次要瀏覽器的Java維持開啟。此舉可以避免使用者在無意間瀏覽到Java網頁，而使用者若在仔細評估後，仍必須開啟時，才有意識地用次要瀏覽器開啟連結。

除了關閉Java Applet，企業也應隨時更新企業內電腦的Java版本。然而，這次Java漏洞屬於零時差漏洞（尚無任何更新可解決的漏洞）、就算即時更新了Java版本，企業內電腦仍有防疫空窗期，可能在此期間遭受駭客攻擊。

而在閘道過濾HTML上Java Applet的方法，雖然可讓員工跳過網頁上的Java Applet內容並瀏覽網頁其他部分，但其作法會增加伺服器的額外運算負擔，致使網頁瀏覽速度變慢。

因此，除了以下的救急因應步驟外，長期來看，企業應建置更全面的資安系統，包括端點電腦上的防毒引擎、閘道端的網頁過濾（Web Filter）系統、動態掃描防護系統、網路存取控制（Network Access Control，NAC）系統、以及入侵防禦系統（Intrusion Prevention System，IPS）等，來進一步充實企業的防駭能力。

作法1－ 關閉：一次關閉企業內部Java Applet

由於駭客是經由感染合法網頁，誘使使用者進入網頁並執行惡意Java Applet來入侵使用者電腦，因此最快速的應變之道，就是關閉公司內所有端點電腦上的Java Applet功能。然而也有企業內部員工必須使用Java Applet（如連至勞健保網頁、銀行與機關等）進行作業，因此，以下先介紹關閉某臺電腦上Java Applet的方法。

要關閉某一端點電腦上的Java功能，先從開始->控制台中打開Java圖示，並在Java控制面板中的「安全」小標籤下，取消勾選「在瀏覽器中啟用Java」，並點擊「套用」，就能關閉這臺電腦上所有瀏覽器的Java Applet功能。

但另一方面，甲骨文並未提供一次關閉企業內端點電腦上Java Applet的方法，因此IT人員需以自動腳本語言（如AutoIt），照著前述局部關閉的步驟，錄製關閉Java Applet的鍵盤順序，並製作成可執行檔，再透過Windows目錄服務（Active Directory，AD）派送此執行檔至各端點電腦執行，藉此關閉其上的Java Applet，同樣地，IT人員也可在風險過後，以類似方法再次將Java Applet功能一次打開。

而若是企業以IE為唯一允許的瀏覽器，則可利用修改系統登錄檔的方式關閉企業內電腦IE上的Java Applet。位於HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in上的UseJava2IExplorer這個登錄檔，代表了是否允許在IE上執行Java Applet，IT人員可藉由Windows目錄服務，派送修改UseJava2IExplorer這個登錄檔設為”0”的指令至各端點電腦，以此關閉端點電腦上的Java Applet。

作法2－ 更新：一次更新企業內部Java版本

除了關閉Java，即時更新Java版本也是當務之急。甲骨文提供了一次更新網域內端點電腦上Java版本的方式。首先，IT人員須先到甲骨文官網下載Java更新的離線安裝（JRE Windows Offline Installation）執行檔，並在管理員端電腦執行。接著，在Windows任意資料夾的網址列上鍵入”%APPDATA%”並輸入確認，會看到{3248F0A6-6813-11D6-A77b-00B0D0150000}這個子資料夾，其中的msi檔（Windows Installer）即為可散佈的Java更新檔，IT人員可藉由Windows目錄服務將msi檔派送至各端點電腦，進行更新安裝。此外，若只想在一臺電腦上執行更新，也可直接至甲骨文網站下載更新檔並執行。

此外，IT人員也可以藉由更新管理系統（Patch Management System），如微軟的WSUS（Windows Server Update Services）來統一更新公司內部電腦的Java程式。

作法3－ 監測：在HTML原始碼中過濾Java Applet
蔡昀庭表示，除了關閉、更新端點電腦的Java Applet外，IT人員也可以在閘道端分析通過閘道HTML的原始碼。若網頁原始碼中含有與區段，即表示此網頁含有Java Applet應用程式，IT人員可以藉此判斷、過濾這種網頁，不讓使用者瀏覽。IT人員也可以將與區段間的Applet物件取代成一段空程式碼，藉此過濾掉含有Java Applet的內容區塊，並仍然容許使用者瀏覽網頁上的其他內容。然而，分析並修改每一次傳送回來的HTML原始碼，可能造成額外的運算負擔，影響使用者瀏覽網頁的速度。

緊急因應不如做好長期規劃

以上三方法提供了緊急因應Java漏洞的手段，然而，面對持續湧現的網路威脅，企業應布署更全面的防護系統，如端點電腦上的防毒軟體、防火牆、與入侵防禦系統（Intrusion Prevention System，IPS）的建置，同時也應在閘道端建立動態偵測等防護措施，此外，企業也應加強內部人員的資安教育，包括對軟體更新，上網行為等網路安全知識，讓企業在面對逐漸加劇的資安威脅時，能有更全面的準備。

相關報導請參考「Java還安全嗎？」

於Java控制面板關閉Java Applet功能

從開始->控制台中打開Java圖示，並在Java控制面板中的「安全」小標籤下，取消勾選「在瀏覽器中啟用Java」，並點擊「套用」，就能關閉Java Applet。

能一次更新所有端點電腦Java版本的更新檔

執行甲骨文提供的離線安裝執行檔後，在Application Data中可看到{3248F0A6-6813-11D6-A77b-00B0D0150000}這個子資料夾。其中的MSI檔可利用AD來派送至端點電腦。

修改Windows登錄檔，可關閉IE上的Java執行

將HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in上的UseJava2IExplorer這個登錄檔值設為”0”`，可關閉IE上Java Applet的執行。

監視HTML原始碼， 過濾Java Applet區塊

透過檢視HTML原始碼，並將<applet>與</applet>區段內的Applet物件（在這裡是TestJavaApplet.class）濾除，可讓使用者只瀏覽網頁，而不開啟網頁上的Java Applet。