Java 7的安全漏洞問題,真是歹戲拖棚。連蘋果、微軟、Facebook這些大公司,也都接連遭殃,顯示問題的嚴重性之大。
即使甲骨文公司已經數次提出修補漏洞的檔案,但資安專家卻持續發現更多漏洞,這場漏洞修補大賽,好像永無止盡。本周再度有資安專家提出兩個Java 7的安全漏洞,一開始甲骨文只承認其中一個為安全性弱點,但過沒幾天甲骨文就提供修補這兩個漏洞的修補檔。
這樣下去,Java 7到底還潛藏多少個漏洞?實在是無人能知。而且大概也沒有人會相信補完這兩個漏洞後,Java 7就沒有安全漏洞了。
其實安全漏洞這種歹戲拖棚的情況過去也上演過,Windows作業系統與PDF接二連三的安全漏洞問題,都曾經讓微軟與Adobe疲於奔命,逼得廠商不得不正視軟體安全的大問題。
近一年來,此類軟體漏洞的事件看似比較少,好像問題沒那麼嚴重了,但Java 7的安全問題一爆開,而且像是沒完沒了的連續劇,這讓我們不得不面對現實的問題:軟體的安全漏洞問題比我們想的還要嚴重,而Java 7絕對不會是最後一個。
這次Java 7安全漏洞問題,突顯了未來軟體漏洞修補將會是一個棘手的問題。過去我們習慣依賴廠商定期提供的漏洞修補檔,只要在廠商公布後儘快更新修補檔,似乎就不會發生什麼大問題,甚至有可能晚了個幾天或幾個禮拜也不會出事。但如果這個做法還是有效的,那麼蘋果、微軟、Facebook等大公司這次就不會中箭落馬了。
零日攻擊的現象越來越多,駭客發動攻擊的速度比用戶修補電腦漏洞的速度還快,這讓我們不能再如同過往般看待漏洞修補的議題。有可能你還沒來得及為全公司的電腦逐一更新修補檔,針對該漏洞的攻擊就發生了;甚至,在一些已鎖定目標對象的網路攻擊行動中,攻擊早就在廠商還沒發布修補檔之前就發生了。
以這次的Java 7的安全漏洞問題為例,事隔一個禮拜就有新的修補檔釋出,如果你負責的電腦數量眾多,而你又得逐臺更新,可能一輪還沒更新完,又有新的修補檔釋出了,那麼整天都在補這些漏洞,豈有生產力可言。
如果不想疲於奔命,那麼移除Java倒也是一個乾脆的作法。使用者電腦的瀏覽器沒有Java,就沒有Java Applet漏洞的風險了,其實許多專家正是呼籲大家這麼做,連美國的國土安全局也這麼建議。
但是,有不少企業是採用Java開發的應用程式,使用者的電腦若沒有安裝Java,就無法操作企業的應用程式了。於是,有的企業想說這次是Java 7的問題,那麼就繼續停留在舊版的Java 6,而不要更新到新版Java 7,應該就不會有問題了吧。豈知,甲骨文這次也同步釋出Java 6的修補檔,並且再度聲明是Java 6的最後一次更新,建議Java 6的使用者升級至Java 7。
由此看來,難道Java 6就保證沒有安全上的問題嗎?大概沒人說得準,而且之後Java 6不再更新,安全更是沒有保障。
所以,現今的軟體安全漏洞問題,已經變得比過往還要複雜。雖然軟體安全漏洞是廠商的問題,但以現今零日攻擊猖獗的狀況來看,若要把安全風險降到最低,在軟體安全漏洞的問題上,就必須採取更為主動的預防方法,而不能只是期待著軟體公司來解決問題。
吳其勳/iThome電腦報周刊總編輯
專欄作者
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-25
2024-11-15