OracleがJavaセキュリティを強化

Javaに見られる最近の脆弱性と、テクノロジーの全体的なセキュリティに関する継続的な懸念に照らして、オラクルは問題を解決することを約束しました。

OracleはすでにJavaにいくつかの変更を加えており、セキュリティを改善するための新しい取り組みに取り組んでいます。 さまざまな業界の従業員を対象とした一連の有名なWebベースの攻撃の後、Oraceはクロスプラットフォーム環境の根本的な問題に対処することを約束しました。

アプレットのセキュリティモデルへの更新やJavaプラグインのデフォルトの動作など、Ramaniの投稿で概説されている2つの変更は既に公開されています。 Javaアプリケーションが失効した証明書を処理する方法、カスタムルールを作成するためのローカルセキュリティポリシーの実装、サーバー側アプリケーションで利用可能なライブラリの制限など、その他の変更は現在開発中です。 ラマニは、これらの更新がいつ利用可能になるかを示しませんでした。

サンドボックスはどうですか？

「全体として、これはJavaにとって良いことですが、これらの変更はJavaサンドボックス自体の根本的な問題を解決するものではありません」とRapid7のチーフリサーチオフィサーでMetasploit侵入テストフレームワークの作成者であるHDムーアはSecurityWatchにメールします。

Javaサンドボックスは、基盤となるシステムとは別に、アプリケーションが実行される保護された領域です。 サンドボックスは、悪意のある実行可能ファイルをキャッチしてから、マシンを乗っ取ったり、実行中のプロセスを乗っ取ったりすることになっています。 しかし、攻撃者はいくつかの脆弱性を悪用してJavaサンドボックスをバイパスすることに成功しています。

「OracleがAdobe ReaderやGoogle Chromeで使用されるようなプロセスレベルのサンドボックスを実装するまで、有効な署名を持つ悪意のあるアプレットは、JREセキュリティの欠陥を悪用してサンドボックスを回避し、システムを侵害する可能性があります」とムーア氏は言います。

これまでの変更

Oracleは最近、セキュリティモデルを更新し、ユーザーが追加の権限を付与せずに署名付きアプレットを実行し、署名のないアプレットの実行をブロックできるようにしました。 つまり、アプレットに署名するだけでは、プログラムが自動的にサンドボックスから抜け出すことはできなくなります。

「これはセキュリティにとって良いことです」とムーアは言いました。

もう1つの良い点は、デフォルトのプラグインセキュリティ設定により、未署名または自己署名のアプレットの実行が禁止されるようになったことです。 この変更により、特定のWebサイトをホワイトリストに登録し、エンタープライズ内のJavaセキュリティポリシーを一元管理できるようになりました、とムーアは述べています。

そして、もうすぐ...

現在、Javaは、証明書失効リスト（CRL）とオンライン証明書ステータスプロトコル（OCSP）の両方をサポートして、署名済み証明書がまだ有効かどうかを検証します。 ただし、デフォルトではチェックが実行されないため、証明書が取り消された場合でも、攻撃者はその不正な証明書を使用し続けることができます。 Oracleは、デフォルトでチェックを有効にする更新を計画しています。

今後のローカルセキュリティポリシーにより、システム管理者はJavaアプレットを実行するコンピューターと実行できないコンピューターを定義できます。

Javaの最近のすべてのトライアルがWebブラウザで実行されるアプレットに影響を与えたとしても、Oracleはサーバーサイドアプリケーションの安全性を確保する方法を模索しているとラマニ氏は言います。 1つの変更は、攻撃対象を減らすためにサーバー側で不要な特定のライブラリを削除することです。

更新の新しいスケジュール

Oracleは、Javaをもう少し頻繁に更新する予定です。 現在、Javaは他のすべてのOracle製品とは別の更新スケジュールに従って、年3回更新されています。 ラマニ氏によると、四半期ごとのクリティカルパッチアップデートには10​​月にJavaの修正が含まれる予定です。 Oracleは、必要に応じて「帯域外」の緊急アップデートを引き続きリリースします。

CPUはすでに管理者にとって時間のかかる作業であることを考慮すると、Javaをミックスに追加すると、さらに巨大な更新が行われます。 一方で、管理者がJavaの個別の更新スケジュールを覚える必要がないことを意味します。