为免攻击困扰 甲骨文弃用Java浏览器插件

甲骨文公司宣布在下一版本的Java Development Kit中将弃用Java浏览器插件，该公司已经要求开发人员开始迁移Java applet到新的Java Web Start技术。

甲骨文明确表示，这一举措并不完全出于自愿，并指出“很多浏览器供应商已经移除或宣布计划移除基于标准的插件支持，这可能让我们无法嵌入Flash、Silverlight、Java和其他基于插件技术”。甲骨文公司并没有提及安全增强软件，例如微软的Enhanced Mitigation Experience Toolkit（EMET），该软件一直提供选项来阻止浏览器插件，因为这些插件可能用作攻击媒介。

甲骨文表示，在其第九个版本的Java Development Kit（JDK）将弃用浏览器插件，并建议开发人员迁移applet到Java Web Start，这让Java applet可在没有插件的情况下在浏览器中启动。然而，甲骨文指出，如果迁移到Java Web Start不可行，开发人员还可为该应用创建本地安装器或使用被称为WebView的功能，该功能让应用使用嵌入版WebKit来渲染HTML5内容。

Beyond Trust公司技术副总裁Morey Haber警告说，在这种迁移中，开发人员面临巨大挑战。

“很多金融和医疗保健应用是纯Java，它们也将不得不作出调整，”Haber表示，“虽然这里有过渡路径，但放射科医师或理财规划师等专业人士使用的传统应用将需要较旧的浏览器，这些应用仍然可能受到攻击，在它们迁移到新的版本或供应商之前，用户和数据多面临巨大风险。”

更糟糕的是，Web Start在安全方面可能没有更好。

“Java Web Start漏洞也可能被利用，就像applet，”Haber表示，“所以即使插件支持终止，用户仍然需要更新Java来缓解漏洞。”

甲骨文还没有宣布Java浏览器插件的终止日期，专家估计，大多数公司在一两年内不会过渡到Web Start，有的公司可能需要长达10年时间。

Rapid7公司安全研究经理Tod Beardsley敦促企业尽快转移到Java Web Start，因为攻击者可能会更新对Java浏览器插件攻击向量的攻击。

“正如微软停止对Windows XP的支持，我们并不会看到对Java插件停止支持会立即消除依靠它的应用。尽管Java插件已经没那么流行，仍然有很多内部网络需要Java插件来运行其内部应用，”Beardsley表示，“在进行过渡的企业应该格外警惕，因为任何知道该技术未公开漏洞的人现在都会开始考虑利用漏洞—在大多数企业完成转移之前。”