비디오: ì í, 802.11n 무ì ë¤í¸ìí¬ ë°±ì ë°ì¤ãíì캡ìãì ë´¬ (십월 2024)
Java에서 발견 된 최근의 취약점과 기술의 전반적인 보안에 대한 지속적인 우려를 고려하여 Oracle은 문제를 해결하겠다고 약속했습니다.
오라클은 이미 Java를 일부 변경했으며 보안 개선을위한 새로운 이니셔티브를 진행하고 있다고 Oracle의 Java 개발 책임자 인 Nandini Ramani는 금요일 블로그 게시물에 썼다. Orace는 다양한 산업의 직원을 대상으로 일련의 주요 웹 기반 공격을 수행 한 후 크로스 플랫폼 환경의 근본적인 문제를 해결하기로 약속했습니다.
애플릿 보안 모델에 대한 업데이트 및 Java 플러그인의 기본 동작을 포함하여 Ramani의 게시물에 요약 된 두 가지 변경 사항이 이미 적용되었습니다. Java 응용 프로그램이 해지 된 인증서를 처리하는 방법, 사용자 지정 규칙을 만들기위한 로컬 보안 정책 구현 및 서버 쪽 응용 프로그램에서 사용 가능한 라이브러리 제한과 같은 다른 변경 사항도 현재 개발 중입니다. 라 마니는 이러한 업데이트가 언제 제공 될지는 밝히지 않았습니다.
샌드 박스는 어떻습니까?
Rapid7의 수석 연구원이자 Metasploit 침투 테스트 프레임 워크의 제작자 인 HD Moore는 "전체적으로봤을 때 이것은 자바에게는 좋은 일이지만 이러한 변화는 자바 샌드 박스 자체의 근본적인 문제를 해결하지 못한다"고 말했다. SecurityWatch로 이메일을 보냅니다.
Java 샌드 박스는 기본 시스템과 별도로 응용 프로그램이 실행되는 보호 영역입니다. 샌드 박스는 악성 실행 파일이 시스템을 대신하거나 실행중인 프로세스를 가로 챌 수 있기 전에 악성 실행 파일을 포착해야합니다. 그러나 공격자는 Java 샌드 박스를 우회하기 위해 여러 가지 취약점을 성공적으로 악용했습니다.
Moore는“Oracle이 Adobe Reader 및 Chrome에서 사용하는 것과 같은 프로세스 수준 샌드 박스를 구현할 때까지 유효한 서명이있는 악성 애플릿은 여전히 JRE 보안 결함을 악용하여 샌드 박스를 벗어나 시스템을 손상시킬 수 있습니다.
지금까지의 변화
Oracle은 최근 보안 모델을 업데이트하여 사용자가 추가 권한을 부여하지 않고 서명 된 애플릿을 실행하고 서명되지 않은 애플릿의 실행을 차단할 수 있습니다. 즉, 애플릿에 서명하면 더 이상 자동으로 샌드 박스에서 벗어날 수 있습니다.
"이것은 보안에 좋은 것"이라고 Moore는 말했다.
또 다른 좋은 점은 기본 플러그인 보안 설정이 서명되지 않은 또는 자체 서명 된 애플릿의 실행을 방해한다는 사실입니다. Moore는 이번 변경으로 특정 웹 사이트를 화이트리스트에 등록하고 엔터프라이즈의 Java 보안 정책을 중앙에서 관리 할 수있게되었습니다.
그리고 곧...
현재 Java는 CRL (Certificate Revocation List)과 OCSP (Online Certificate Status Protocol)를 모두 지원하여 서명 된 인증서가 여전히 유효한지 확인합니다. 그러나 기본적으로 검사는 수행되지 않으므로 인증서가 해지 된 경우에도 공격자는이 잘못된 인증서를 계속 사용할 수 있습니다. 오라클은 기본적으로 점검 할 수있는 업데이트를 계획하고 있습니다.
다가오는 로컬 보안 정책은 시스템 관리자가 Java 애플릿을 실행할 컴퓨터와 사용할 수없는 컴퓨터를 정의 할 수 있도록하는 등 정책 설정에 대한 추가 제어를 제공합니다.
라 마니는 최근 자바의 모든 시험이 웹 브라우저에서 실행되는 애플릿에 영향을 미쳤지 만 서버 측 애플리케이션의 보안을 유지하는 방법을 모색하고 있다고 말했다. 한 가지 변화는 공격 영역을 줄이기 위해 서버 측에 필요하지 않은 특정 라이브러리를 제거하는 것입니다.
새로운 업데이트 일정
오라클은 Java를 좀 더 자주 업데이트 할 예정입니다. 현재 Java는 다른 모든 Oracle 제품과 별도의 업데이트 일정에 따라 1 년에 3 번 업데이트됩니다. Ramani는 분기 별 중요 패치 업데이트가 10 월에 Java 수정을 포함하여 시작될 것이라고 밝혔다. 오라클은 필요한 경우 비상 대역 업데이트를 "대역 외"로 계속 공개합니다.
CPU가 이미 관리자에게 시간 집약적이라는 점을 고려하면 Java를 혼합에 추가하면 훨씬 더 많은 업데이트가 이루어집니다. 반면에 관리자는 Java의 별도 업데이트 일정을 기억할 필요가 없습니다.
