甲骨文(Oracle)負責Java平台系統開發的工程副總裁Eric P. Maurice表示將加強改進Java的安全性,並宣布將改變applet的簽署與執行方式、改變擴充軟體的安全屬性設定,以及數位憑證的驗證。
Eric P. Maurice指出,近期Java的資安問題主要集中在瀏覽器環境中,甲骨文在定期維護與多次釋出的緊急修復程式中,主要修復大量自1997年累積至今的Java漏洞。甲骨文決定從今年十月開始,Java將遵循甲骨文的修補更新計劃,與公司其他產品一樣每季釋出一次。但甲骨文仍會視情況釋出緊急修補程式。
甲骨文還準備提升Java開發相關的軟體安全政策與處理方式,讓Java從程式碼底層預防漏洞的產生,包含增加自動安全檢查工具、定期大範圍檢測程式碼,還利用先進的工具如模糊測試工具程式,來檢測某些類型的漏洞。
未來隨著JDK 7 Update 21釋出之後,Java將有三項重大修正:首先是修改已簽署applet的執行方式。過去簽署applet一定要提高應用的權限,該版更新之後只需建立簽署者的身份,不需再增加任何的權限,因此,現在並不一定要到沙箱之外才能夠執行已簽署的applets。而且使用者可以禁止未簽署的applet執行。
其次是改變擴充軟體的安全屬性設定,阻止自我簽署或未簽署的applet執行。由於這可能會影響到大部份的使用者,因此甲骨文強烈建議企業組織,如果網站內含未簽署的Java applets,務必要根據說明文件簽署這些applets。
第三,甲骨文承諾修改憑證檢驗的方法,除了目前修正為主動更新JAR檔案與憑證的黑名單之外,未來會預設開啟憑證撤除列表(CRL)與線上憑證狀態協定(OCSP)為開啓。
另外甲骨文也發現有漏洞會影響到Java伺服器,因此決定在JDK 7 Update 21新增Server JRE發行模式,把釋放給伺服器使用的程式跟一般用戶的作為區分。
近年來Java的安全性出過不少狀況,Java 7推出後更是狀況連連,甚至讓蘋果、Facebook等企業也遭波及,今年初還被美國國土安全部(Department of Homeland Security)旗下的美國電腦緊急應變小組(US-CERT)建議關閉棄用。甲骨文雖然多次釋出緊急修補程式,但新的漏洞仍持續被發現,密集修補漏洞造成Java開發團隊人力短缺,導致Java 8延期推出。(編譯/沈經)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12