ตั้งแต่ช่วงต้นปีแฮกเกอร์ได้ใช้ประโยชน์จากจุดอ่อนใน Java เพื่อดำเนินการโจมตีต่อ บริษัท ต่างๆเช่น Microsoft, Apple, Facebook และ Twitter ตลอดจนผู้ใช้ตามบ้าน แต่ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าการโจมตีดังกล่าวไม่น่าจะเกิดขึ้นเร็ว ๆ นี้

การใช้ประโยชน์จากจาวาโดย MiniDuke กำหนดเป้าหมายช่องโหว่ที่ไม่ได้รับการแก้ไขโดย Oracle ในขณะที่ การโจมตี Kaspersky Lab กล่าวในบล็อกโพสต์ ช่องโหว่ที่ทำให้สาธารณชนหรือใช้ประโยชน์ได้ก่อนที่จะมีการเผยแพร่แพทช์เป็นที่รู้จักกันว่าเป็นช่องโหว่ zero-day ซึ่งหลายแห่งถูกใช้ในการโจมตี Java ในปีนี้

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

ในเดือนกุมภาพันธ์วิศวกรซอฟต์แวร์จาก Microsoft, Apple, Facebook และ Twitter มีแล็ปท็อปทำงานที่ติดเชื้อมัลแวร์หลังจากเยี่ยมชมเว็บไซต์ชุมชนสำหรับนักพัฒนา iOS ที่ได้รับการปรับใช้กับการโจมตีแบบ zero-day ของ Java การละเมิดนี้เป็นผลมาจากการโจมตีถล่มที่มีขนาดใหญ่จากหลายเว็บไซต์ที่มีผลกระทบต่อหน่วยงานภาครัฐและ บริษัท ในอุตสาหกรรมอื่น ๆ นอกจากนี้ยังมีรายงานการรักษาความปลอดภัย

ออราเคิลได้ตอบสนองต่อการโจมตีโดยการออกการปรับปรุงด้านความปลอดภัยในกรณีฉุกเฉินสองรายการตั้งแต่ เริ่มต้นปีและเร่งปล่อยแพทช์ตามกำหนดการ นอกจากนี้ยังเพิ่มค่าเริ่มต้นของการควบคุมความปลอดภัยสำหรับแอพพลิเคชันจาวาสูงเพื่อป้องกันแอพพลิเคชัน Java บนเว็บจากเบราว์เซอร์โดยไม่ได้รับการยืนยันจากผู้ใช้

ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่านี่เป็นจุดเริ่มต้นที่ดี แต่คิดว่าควรเพิ่มมากขึ้นเพื่อเพิ่ม อัตราการยอมรับสำหรับการปรับปรุงและเพื่อปรับปรุงการจัดการการควบคุมความปลอดภัย Java ในสภาพแวดล้อมขององค์กร ที่สำคัญพวกเขากล่าวว่า Oracle ควรตรวจสอบรหัส Java ของตนอย่างละเอียดเพื่อระบุและแก้ไขปัญหาด้านความปลอดภัยขั้นพื้นฐาน พวกเขาเชื่อว่า Java จะมีความปลอดภัยมากขึ้นในวันนี้หาก Oracle ได้ฟังคำเตือนของอุตสาหกรรมด้านความปลอดภัยในช่วงหลายปีที่ผ่านมา

"ยากที่จะพูดถึงสิ่งที่เกิดขึ้นภายใน Oracle ในช่วงหลายปีที่ผ่านมา แต่จากประสบการณ์ภายนอกที่ผมรู้สึก พวกเขาอาจจะมีปฏิกิริยาตอบสนองเร็ว "Carsten Eiram หัวหน้าเจ้าหน้าที่วิจัยของ บริษัท ที่ปรึกษา Risk Based Security กล่าวผ่านทางอีเมล์ "ผมไม่แน่ใจว่าออราเคิลได้รับการคาดการณ์ว่าจาวาจะเป็นเป้าหมายหลักที่สำคัญต่อไป"

ไม่น่าเป็นไปได้ที่ออราเคิลสามารถป้องกันไม่ให้มีการโจมตีครั้งล่าสุดได้ แต่อย่างใดเขากล่าวว่าจะดีกว่าถ้าทำเร็วขึ้น เพื่อรักษาความปลอดภัยของรหัสและเพิ่มระดับการรักษาความปลอดภัยมากขึ้น

"ผมคิดว่าสถานะปัจจุบันของการรักษาความปลอดภัย Java เนื่องจาก Sun ผลักดัน Java อย่างมากเมื่อพวกเขายังคงเป็นเจ้าของอยู่" Costin Raiu ผู้อำนวยการฝ่ายวิจัยระดับโลกกล่าว และทีมวิเคราะห์ที่ Kaspersky Lab ผ่านทางอีเมล์ "หลังจากที่ออราเคิลซื้อ Java อาจมีความสนใจน้อยลงในโครงการนี้"

Oracle ซื้อ Java เมื่อซื้อ Sun Microsystems ในปี 2010 ซอฟต์แวร์นี้มีการติดตั้งบนคอมพิวเตอร์เดสก์ท็อปจำนวน 1.1 พันล้านเครื่องทั่วโลกตามข้อมูลที่ Java.com การใช้งานอย่างแพร่หลายและลักษณะข้ามแพลตฟอร์มทำให้เป็นเป้าหมายที่น่าสนใจสำหรับแฮกเกอร์ นักวิจัยจาก Security Explorations ซึ่งเป็น บริษัท วิจัยด้านช่องโหว่ของโปแลนด์ได้ค้นพบและรายงานช่องโหว่ 55 ช่องโหว่ในระยะเวลาการทำงานของ Java ที่ Oracle, IBM และ Apple ดูแลในช่วงปีที่ผ่านมา 36 แห่งในเวอร์ชันของออราเคิล

"ในเดือนเมษายนปี 2012 เราได้รายงานปัญหาด้านความปลอดภัย 30 เรื่องต่อ Oracle ส่งผลต่อ Java SE 7" Adam Gowdiak ผู้ก่อตั้ง Security Explorations กล่าวว่า "ทางอีเมล "นี่เป็นช่วงเวลาเดียวกันที่มีการพบโทรจัน Mac OS trojan อยู่ในป่า Kaspersky Lab รายงานว่าในช่วงเวลาหนึ่งปีที่ผ่านมาผู้ใช้หนึ่งในสามใช้ Java รุ่นที่เสี่ยงต่อการถูกลักลอบใช้งานหนึ่งในห้าข้อที่ใช้งานอยู่ แฮกเกอร์ ในช่วงเวลาสูงสุด 60 เปอร์เซ็นต์ของผู้ใช้มีการติดตั้ง Java เวอร์ชันอ่อนแอ

การให้กลไกการอัพเดตอัตโนมัติแบบเงียบเช่นเดียวกับที่พบใน Chrome, Flash Player, Adobe Reader และซอฟต์แวร์อื่น ๆ อาจเป็นประโยชน์กับผู้บริโภค Eiram กล่าว อย่างไรก็ตามธุรกิจอาจปิดใช้งานคุณลักษณะดังกล่าวเขากล่าว

เริ่มต้นด้วย Java 7 Update 10 ซึ่งเผยแพร่เมื่อเดือนธันวาคมที่ผ่านมาออราเคิลได้ให้ตัวเลือกใหม่ในแผงควบคุม Java ซึ่งอนุญาตให้ผู้ใช้ปิดใช้งานปลั๊กอิน Java จากเบราว์เซอร์หรือบังคับให้ Java ขอการยืนยันก่อนที่แอพพลิเคชัน Java จะทำงานได้ตั้งแต่ Java 7 Update 11 การตั้งค่าเริ่มต้นสำหรับกลไกนี้ได้รับการตั้งค่าให้สูงป้องกันไม่ให้แอพพลิเคชัน Java ที่ไม่ได้ลงชื่อทำงานโดยอัตโนมัติโดยที่ผู้ใช้ไม่ยืนยัน

"ผมเชื่อว่าคุณลักษณะด้านความปลอดภัยใหม่ใน Java แสดงให้เห็นว่าออราเคิลกำลังเดินไปในทิศทางที่ถูกต้อง "Wolfgang Kandek, CTO of Qualys กล่าวซึ่งขายผลิตภัณฑ์การจัดการความเสี่ยงและการปฏิบัติตามนโยบาย ช่วยให้ผู้ดูแลระบบไอทีสามารถปรับใช้งานได้ตามลักษณะที่ตรงกับความต้องการขององค์กรของตน

"ผมยินดีต้อนรับความสามารถในการแสดงรายชื่อที่เป็นสีขาวใน Java เช่นห้ามมิให้ไซต์ที่ได้รับอนุมัติทั้งหมด แต่ใช้กลไกแอพเพล็ต" Kandek กล่าว. "ในขณะเดียวกัน Kandek เชื่อว่าออราเคิลเผชิญกับความท้าทายที่ยิ่งใหญ่ในการชุบแข็งกับการโจมตีของ Java มากกว่า บริษัท ซอฟต์แวร์รายอื่น ๆ ผลิตภัณฑ์ของตัวเอง "Java เป็นภาษาการเขียนโปรแกรมที่สมบูรณ์และจำเป็นต้องสามารถดำเนินการได้เต็มรูปแบบของการกระทำ … รวมถึงงานระบบปฏิบัติการในระดับต่ำ"

ที่กล่าวว่า Eiram และ Gowdiak กล่าวว่า Oracle ต้องการพัฒนาคุณภาพของรหัส Java ของตน จากมุมมองด้านความปลอดภัยเพราะตอนนี้มันค่อนข้างง่ายที่จะหาช่องโหว่

"ผู้จำหน่ายซอฟต์แวร์มีหน้าที่รับผิดชอบในการจัดหาโค้ดที่มีความปลอดภัยในด้านคุณภาพและผู้จัดจำหน่ายซอฟต์แวร์ที่ใช้กันแพร่หลายเช่น Flash Player หรือ Java ก็ไม่มีข้อแก้ตัวใด ๆ " Eiram กล่าว Adobe ตระหนักถึงเรื่องนี้และได้พยายามอย่างจริงจังและประสบความสำเร็จในการปรับปรุงโค้ดของตน ไมโครซอฟท์ทำเหมือนกันหลายปีมาแล้ว ถึงเวลาแล้วที่ออราเคิลจะเดินตามรอยเท้าเหล่านี้ "

มีข้อบ่งชี้ว่านักพัฒนาซอฟต์แวร์ของออราเคิลไม่รู้จักข้อผิดพลาดในการรักษาความปลอดภัยของ Java และการตรวจสอบความปลอดภัยของรหัสนั้นไม่ได้ทำอย่างใดอย่างหนึ่งหรือไม่ครบถ้วนเพียงพอ Gowdiak กล่าว หลายประเด็นที่ระบุโดยการสำรวจความปลอดภัยละเมิดหลักเกณฑ์การเข้ารหัสของออราเคิลที่มีความปลอดภัยสำหรับ Java เขากล่าว

"เราพบข้อบกพร่องหลายอย่างที่ควรได้รับการกำจัดโดย บริษัท ในขณะที่การตรวจสอบความปลอดภัยที่ครอบคลุมของแพลตฟอร์มก่อนที่จะ release "Gowdiak กล่าวว่า

Oracle ควรใช้ Solid Secure Development Lifecycle for Java เพื่อขจัดช่องโหว่พื้นฐานและเพิ่มความสมบูรณ์ของรหัส Eiram กล่าว SDL คือกระบวนการพัฒนาซอฟต์แวร์ที่เน้นการตรวจสอบด้านความปลอดภัยของรหัสและแนวทางการพัฒนาด้านความปลอดภัยเพื่อลดช่องโหว่

วิธีที่ดีที่สุดคือการทำให้นักพัฒนาซอฟต์แวร์ได้รับการฝึกอบรมอย่างเหมาะสมโดยการฝึกอบรมภายในเช่นเดียวกับที่ Microsoft ทำและตรวจสอบรหัสที่มีอยู่ ด้วยความช่วยเหลือจากผู้สอบบัญชีภายนอก Eiram กล่าว "Oracle อาจรวมถึงนักวิจัยที่เชี่ยวชาญบางคนที่กำลังมองหาโค้ดเหล่านี้อยู่เสมอ"

Oracle ได้กล่าวว่าจะเร่งวัฏจักรการแพทช์สำหรับ Java ตั้งแต่ 4 เดือนถึง 2 เดือนและสัญญาว่าจะสื่อสารเรื่องปัญหาด้านความปลอดภัยของ Java ได้ดีขึ้น ผู้ชมทั้งหมดรวมทั้งผู้บริโภคผู้เชี่ยวชาญด้านไอทีนักวิจัยด้านข่าวและการรักษาความปลอดภัย ช่วงเวลาอันยาวนานระหว่างการปรับปรุงความปลอดภัยของ Java และการขาดการสื่อสารของออราเคิลเกี่ยวกับความปลอดภัยได้รับการวิพากษ์วิจารณ์มานานแล้ว

"มันจะน่าสนใจมากที่เห็นว่าพวกเขาจะให้เกียรติสัญญาของพวกเขาในการสื่อสารที่ดีกับประชาชนและสื่อมวลชน ในอดีตที่ผ่านมาพวกเขามีความเห็นอกเห็นใจและปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับช่องโหว่ที่ได้รับรายงานและแม้กระทั่งความถูกต้องของพวกเขา "Eiram กล่าว"

นโยบายไม่แสดงความคิดเห็นเกี่ยวกับประเด็นด้านความปลอดภัยซึ่ง Oracle กล่าวว่าจำเป็นต้องปกป้อง ผู้ใช้ไม่ทราบว่าภัยคุกคามที่รายงานจากภายนอกเป็นจริงหรือสิ่งที่ Oracle ทำเกี่ยวกับพวกเขาเขากล่าว "แนวทางการรักษาความปลอดภัยและการตอบสนองนี้เป็นของสหัสวรรษก่อนหน้านี้"

ผู้เชี่ยวชาญด้านความปลอดภัยไม่ได้คาดหวังให้ออราเคิลสามารถแก้ปัญหาทั้งหมดในอนาคตอันใกล้ได้ในทางที่จะยับยั้งผู้บุกรุกได้

"ฉันไม่ได้คาดการณ์ไว้ ปัญหาด้านความปลอดภัยของ Java สิ้นสุดลงในไม่ช้านี้ "Eiram กล่าว "ต้องใช้เวลาทั้ง Microsoft และ Adobe สักระยะหนึ่งในการหันเรือรอบ ๆ ตัวและผลิตภัณฑ์ของพวกเขายังคงอยู่ภายใต้การถูกโจมตีแบบ zero-day [exploits] ตอนนี้ Java มีจำนวนมากที่จะนำเสนอผู้บุกรุกดังนั้นฉันจึงคาดหวังให้พวกเขาให้ความสำคัญกับเรื่องนี้ในตอนนี้ "

" ฉันไม่อยากคาดหวังว่าจะสามารถแก้ปัญหาได้ในเร็ว ๆ นี้ "Kandek กล่าว "ผู้บริหารระบบไอทีควรใช้เวลาในการทำความเข้าใจว่าพวกเขาต้องการ Java บนเดสก์ท็อปและที่ใดสามารถ จำกัด การใช้งานได้"

ผู้เชี่ยวชาญด้านความปลอดภัยยอมรับว่าควรปิดใช้งาน Java ในที่ที่ไม่จำเป็นต้องใช้อย่างน้อยที่สุดในระดับเบราว์เซอร์ ผู้ใช้จำนวนมากไม่ทราบว่ามี Java ติดตั้งอยู่ในคอมพิวเตอร์ นั่นอาจเป็นเหตุผลที่ Google และ Mozilla เลือกที่จะ จำกัด ปลั๊กอิน Java ใน Chrome และ Firefox โดย Raiu กล่าวว่า

แอปเปิ้ลยังระบุเวอร์ชันของปลั๊กอิน Java ใน Mac OS X ที่มีช่องโหว่และ Windows มีการตั้งค่ารีจิสทรีที่สามารถ จำกัด การใช้งาน Java ได้ Internet Explorer ไปยังเว็บไซต์ที่เชื่อถือได้

ในขณะที่ผู้ใช้ตามบ้านจำนวนมากไม่ต้องการ Java ในเบราว์เซอร์ผู้คนในบางส่วนของโลกอาจ ตัวอย่างเช่นในเดนมาร์กเว็บไซต์ธนาคารออนไลน์และเว็บไซต์ของรัฐบาลใช้กลไกการเข้าสู่ระบบที่เรียกว่า NemID ที่ต้องใช้การสนับสนุน Java Eiram กล่าว กรณีคล้าย ๆ กันอาจมีอยู่ในประเทศอื่น ๆ

ในกรณีเหล่านี้การใช้คุณลักษณะคลิกเพื่อเล่นใน Chrome และ Firefox หรือกลไกโซนใน IE สามารถนำมาใช้เพื่อให้เนื้อหา Java โหลดจากเว็บไซต์บางแห่งเท่านั้น วิธีแก้ไขปัญหาทางเทคนิคน้อยคือการใช้เบราเซอร์เดียวกับ Java ที่ถูกปิดใช้งานทั่วไปและเบราว์เซอร์อื่นที่มี Java เปิดใช้งานสำหรับเว็บไซต์ที่เชื่อถือได้ที่ต้องการการสนับสนุน Java

การ จำกัด การใช้ Java ในสภาพแวดล้อมขององค์กรเป็นเรื่องยากขึ้น หลาย บริษัท ใช้แอ็พพลิเคชันบนเว็บและเว็บภายนอกที่ต้องใช้ปลั๊กอินของเบราว์เซอร์ Java เพื่อรัน Kandek กล่าวว่า "การทำให้ Java สามารถกำหนดค่าได้มากขึ้นจะช่วยให้ผู้ดูแลระบบไอทีสามารถปรับใช้ Java ได้อย่างถูกต้องตามความต้องการขององค์กร" "ระดับการรักษาความปลอดภัยเริ่มต้นที่สูงขึ้นและการเชื่อมต่อจากเบราว์เซอร์ที่ใช้งานง่ายเป็นจุดเริ่มต้นที่ดี แต่ผมเชื่อว่าเราจำเป็นต้องปรับปรุงขีดความสามารถในการทำรายการสีขาวของเบราว์เซอร์หรือปลั๊กอิน Java"

ในขณะนี้กลไก Zone ใน IE มีความสามารถในการจัดการที่ปรับขนาดได้มากที่สุดสำหรับปลั๊กอิน Java ในสภาพแวดล้อมแบบองค์กร Kandek กล่าวว่าคลื่นล่าสุดของการโจมตีแบบ Java ซึ่งรวมถึงการโจมตีด้านความปลอดภัยที่ Microsoft, Facebook, Apple และ Twitter อาจทำให้ Java's เสียหาย Eiram กล่าวว่า แต่ถ้าธุรกิจมีความเชื่อมั่นในภาษาจาวาว่าปลอดภัยและปลอดภัย "พวกเขาไม่ได้รับการเตือนอย่างชัดเจนจากนักวิจัยสักระยะหนึ่ง" เขากล่าว

ไม่ใช่เฉพาะชื่อเสียงของ Java ที่อาจได้รับความเสียหาย มีบาง บริษัท ถามว่าความปลอดภัยที่ไม่ดีของ Java จะสะท้อนให้เห็นในผลิตภัณฑ์อื่น ๆ ของออราเคิล Gowdiak กล่าวหรือไม่

Eiram หวังว่าการโจมตีครั้งล่าสุดนี้จะทำให้ บริษัท ต่างๆต้องประเมินว่าจำเป็นต้องใช้ Java ในสภาพแวดล้อมของตนเองหรือไม่

"บริษัท ทั่วไป กำลังโยกย้ายไปยังแอพพลิเคชันที่ใช้ HTML5 บริสุทธิ์และย้ายออกจากปลั๊กอินเช่น Flash, Silverlight และ Java "Kandek กล่าว "Java จะยังคงเติบโตต่อไปในฝั่งเซิร์ฟเวอร์ซึ่งจำเป็นต้องมีขีดความสามารถในการประมวลผลที่มีประสิทธิภาพสูง"