Video: Java Runtime Environment not found Решение (Settembre 2024)
Alla luce delle recenti vulnerabilità riscontrate in Java e delle continue preoccupazioni sulla sicurezza complessiva della tecnologia, Oracle ha promesso, ancora una volta, che risolverà i problemi.
Oracle ha già apportato alcune modifiche a Java e sta lavorando a nuove iniziative per migliorare la sicurezza, Nandini Ramani, responsabile dello sviluppo Java di Oracle, ha scritto venerdì in un post sul blog. Dopo una serie di attacchi basati su Web di alto profilo rivolti ai dipendenti di vari settori, Orace si è impegnata a risolvere i problemi di fondo nell'ambiente multipiattaforma.
Due delle modifiche descritte nel post di Ramani, inclusi gli aggiornamenti al modello di sicurezza dell'applet e il comportamento predefinito del plug-in Java, sono già attive. Altre modifiche, come il modo in cui le applicazioni Java gestiscono i certificati revocati, l'implementazione di politiche di sicurezza locali per creare regole personalizzate e la limitazione delle librerie disponibili per le applicazioni lato server, sono attualmente in fase di sviluppo. Ramani non ha indicato quando questi aggiornamenti sarebbero stati disponibili.
Che dire della sandbox?
"Nel complesso, questa è una buona cosa per Java, ma questi cambiamenti non risolvono il problema di fondo con il sandbox Java stesso", ha affermato HD Moore, capo ricercatore di Rapid7 e creatore del framework di test di penetrazione Metasploit e-mail a SecurityWatch.
Il sandbox Java è un'area protetta in cui vengono eseguite le applicazioni, separata dal sistema sottostante. La sandbox dovrebbe catturare eseguibili dannosi prima che possano assumere il controllo della macchina o dirottare i processi in esecuzione. Tuttavia, gli aggressori hanno sfruttato con successo diverse vulnerabilità per aggirare il sandbox Java.
"Fino a quando Oracle non implementerà sandbox a livello di processo, come quello utilizzato da Adobe Reader e Google Chrome, un'applet dannosa con una firma valida può comunque abusare dei difetti di sicurezza di JRE per sfuggire al sandbox e compromettere il sistema", ha affermato Moore.
I cambiamenti finora
Oracle ha aggiornato di recente il modello di sicurezza in modo che gli utenti possano eseguire applet firmate senza concedere privilegi aggiuntivi e bloccare l'esecuzione di applet non firmate. Ciò significa che la sola firma di un'applet non dà più automaticamente al programma la possibilità di uscire dalla sandbox.
"Questa è una buona cosa per la sicurezza", ha detto Moore.
Un'altra cosa positiva è il fatto che ora le impostazioni di sicurezza del plug-in predefinito impediscono l'esecuzione di applet non firmate o autofirmate. La modifica ora rende possibile la whitelist di siti Web specifici e la gestione centralizzata delle politiche di sicurezza Java all'interno dell'azienda, ha osservato Moore.
E in arrivo...
Attualmente, Java supporta sia gli elenchi di revoche di certificati (CRL) sia il protocollo di stato del certificato online (OCSP) per verificare se un certificato firmato è ancora valido. Tuttavia, poiché il controllo non viene eseguito per impostazione predefinita, anche se un certificato fosse stato revocato, gli aggressori sarebbero in grado di continuare a utilizzare quella cattiva certificazione. Oracle sta pianificando un aggiornamento che consentirebbe il controllo per impostazione predefinita.
L'imminente politica di sicurezza locale offre agli amministratori un ulteriore controllo sulle impostazioni dei criteri, ad esempio consentendo agli amministratori di sistema di definire quali computer eseguire applet Java e quali computer non possono.
Anche se tutte le recenti prove di Java hanno interessato le applet in esecuzione nel browser Web, Oracle sta anche esplorando i modi per assicurarsi che le applicazioni lato server rimangano sicure, ha affermato Ramani. Un cambiamento sarebbe rimuovere alcune librerie che non sono necessarie sul lato server per ridurre la superficie di attacco.
Nuovo programma per gli aggiornamenti
Oracle aggiornerà anche Java un po 'più frequentemente. Al momento, Java viene aggiornato tre volte all'anno, seguendo una pianificazione di aggiornamento separata da tutti gli altri prodotti Oracle. L'aggiornamento trimestrale della patch critica inizierà includendo le correzioni Java ad ottobre, ha affermato Ramani. Oracle rilascerà comunque aggiornamenti di emergenza, "fuori banda", quando necessario.
Considerando che la CPU è già uno sforzo che richiede molto tempo per gli amministratori, l'aggiunta di Java al mix rende solo un aggiornamento ancora più gigantesco. D'altra parte, significa che gli amministratori non devono ricordare il programma di aggiornamento separato di Java.
