安全专家说:现在到了该彻底重写Java的时候了
- - 外刊IT评论如果说最近的Java暴露出来的 安全缺陷能给我带来什么警示,那就是现在是到了Oracle公司重写这种语言的时候了. 这是杀毒软件 Bitdefender的缔造者、资深软件威胁分析师、罗马尼亚人Bogdan Botezatu做出的结论,由于本周发现的 最新的java缺陷,他估计会导致多于1亿台计算机暴露在黑客攻击的危险之中.
安全专家说:现在到了该彻底重写Java的时候了
标签:
安全漏洞
oracle
java
重写
批评评论
| 发表时间:2013-01-24 00:08 | 作者:Aqee
出处:http://www.aqee.net
如果说最近的Java暴露出来的 安全缺陷能给我带来什么警示,那就是现在是到了Oracle公司重写这种语言的时候了。
这是杀毒软件 Bitdefender的缔造者、资深软件威胁分析师、罗马尼亚人Bogdan Botezatu做出的结论,由于本周发现的 最新的java缺陷,他估计会导致多于1亿台计算机暴露在黑客攻击的危险之中。
按Botezatu的说法,Oracle的Java代码已经处于失控之中,这就是为什么严重的安全问题不断的出现在这种语言软件中的原因。
“Oracle需要整理出Java的一些核心组件,彻底重写它们,”在一次访谈中他这样说。
一些成熟的产品,比如Java或Adobe公司的几款软件,在过去的很长的时间里已经被无数人的手动过。“这些产品变得如此庞大,被如此多的程序员 维护过,导致这些软件的出品人基本上对这些软件里应该有的东西失去了控制。”Botezatu说。
与软件缺陷的战争
Oracle最近在对Java漏洞进行修补的结果证实了这位罗马尼亚安全专家的分析。
例如,2012年8月份在新版的java7修订版7中,Oracle修补了3个安全漏洞。就在这些补丁包发布的几个小时后,波兰安全专家、Security Explorations公司的创始人和CEO——Adam Gowdiak 发现了一个由这些补丁程序造成的安全漏洞。一些安全专家认为,Java现在是 年老多病,很多功能器官都要依赖其它技术手段来维持工作。
根据Gowdiak所说,这种编程语言里最近发现的一个还没有相关补丁包的安全漏洞也同样被认为是2012年10月份的那次安全升级的补丁包引入的。这些安全补丁包本身就不安全,它们打开了大门让自己暴露在黑客攻击下。
“现在是一个很好的重写Java的时机,以此来消除bug,而不是一层一层的打补丁。”Botezatu说。
然而,Botezatu知道这是不可能的。“Oracle不可能去做一些大的动作,因为这样会影响现有市场上的众多程序,”他补充道。
目前Oracle所面对的Java开发上的问题是一个所有软件生产商都在面对的问题:如何在不破坏对以前版本兼容性的前提下改进软件。
“你可以看一下Windows Vista,看看它是如何因为一些客户的在Windows XP上的应用不能在Vista里运行而不被用户接受的。”Botezatu解释说。
不管怎样,一些迹象显示,Oracle真正努力解决Botezatu所说的这些问题。在周五,Oracle宣布,从9月份的Java8开始,新的版本 将以两年一次的频度发布。
鉴于目前安全形势,美国国土安全部 建议禁掉浏览器里的Java,可以通过Oracle公司提供的以下 这些步骤实现。
本文由 外刊IT评论网( www.aqee.net)原创发表,文章地址: 安全专家说:现在到了该彻底重写Java的时候了
相关 [安全 专家 重写] 推荐:
40个安全专家需要知道的网络安全数据
- - FreeBuf.COM | 关注黑客与极客随着互联网的不断发展,网络安全威胁也日益增长. 为了便于IT安全人员及时的掌握和了解当前的安全环境,许许多多的行业调查,供应商报告和研究报告也随之而来. 而面对如此规模庞大的报告数量,不免让我们感到有些眼花缭乱. 为此,我对大量的分析报告进行了梳理,以便于大家更好地阅读和了解这些内容. 以下是关于数据泄露,新兴威胁,软件漏洞,合规性相关问题,网络安全技能等问题的报告集合.
德国安全专家成功破解GPRS加密算法
- ji - cnBeta.COM据《德国商报》周三报道,柏林一家安全公司透露说,它们已经破解一些手机的加密算法,这些手机可以使用互联网. 安全研究实验室(Security Research Labs)主管卡斯藤・诺尔(Karsten Nohl)说,破解后可以窃听GPRS. 用户一般会利用GPRS来阅读邮件、浏览网页.
专家回应:食用少量地沟油是安全的 !
- sososa - 哎呦喂.net有一句话叫“久病成医”,我就是. 在这里,我是专家,因为我看多了专家的言论,我就“久看成家”了. 专家说,食用少量增白剂是安全的;专家说,食用少量苏丹红是安全的;专家说,食用少量塑化剂是安全的;专家说,食用少量膨大剂是安全的;专家说,食用少量催熟剂是安全的;专家说,食用少量三聚氰胺是安全的;专家说,食用少量化肥农药是安全的……专家的意思就是:吃不死你就安全!.
安全专家称Duqu是定制攻击框架
- ArmadilloCommander - Solidot赛门铁克上周报告发现了类似Stuxnet的工业系统恶意程序Duqu,但关于Duqu是未来Stuxnet的说法模糊了这种新恶意程序的许多真相. Duqu本质上是一种定制攻击框架,能为每个目标打造独立攻击模块. 卡巴斯基的安全研究员Alex Gostev详细分析了Duqu文件,发现恶意程序为每个目标使用了不同的驱动和模块.
Oracle专家全面解读数据库安全解决方案
- - 业界当今IT安全建设的重点已经从传统的网络安全、系统安全、应用安全等领域,转向了如何加强IT系统核心的数据库安全防范. 企业越来越关心如何才能更有效地保护数据库不受侵害,做到敏感数据“看不见”、核心数据“拿不走”、运维操作“能审计”、非法访问的监控与审计,以及如何轻松达到《信息安全等级保护条例》的信息安全合规要求、满足中国SOX《企业内部控制基本规范》的规定,同时对现有生产系统不产生任何性能影响.
安全专家建议禁用UPnP功能
- - 博客园_新闻在发现数以千万计的联网设备易被攻击之后,安全专家建议禁用路由器、打印机和摄像机的 UPnP(通用即插即用)功能. UPnP 协议设计简化家庭网络和企业局域网中各种设备连接,使内网中任意两个设备能互相通信,而不需要特别配置,但 UPnP 协议存在 三种已知的问题使相关设备易受攻击. 安全公司 Rapid7 周二发表 白皮书称,他们在近半年的时间内扫描所有可路由的 IPv4 地址,发现 8100 万个响应标准 UPnP 发现请求的唯一地址(UPnP 设备本不应该与外网通信),其中 4000-5000 万设备容易受到了至少一种攻击方法的风险.
安全专家如何保护他们的数据
- - 博客园_新闻安全专家 如何保护他们的数据. Marcin Kleczynski,一家专注于保护用户抵御黑客的公司 CEO,使用了 14 个字符的密码和二步认证保护自己的 Twitter 账号;. 电子前哨基金会的首席技术专家 Cooper Quintin 则根本不在电脑上运行杀毒软件,部分原因是他的电脑运行的是 Linux 系统,面临的危险没有 Windows 电脑大,部分是因为他从哲理上反对杀毒软件,他认为杀毒软件创造了安全的错觉,他经常性的加密电子邮件,但不推荐普通用户这么做,因为加密软件比较难用;.
研究:专家用户比一般用户更容易忽略浏览器安全警告
- - IE浏览器中文网站根据最新的安全研究报告指出,当前Web浏览器所显示的安全警告信息,在阻止危险网络行为的效率上,比起过去认为的还有效. 该调查研究主要在进行使用者对Mozilla Firefox与Google Chrome浏览器,在网络钓鱼、恶意程序攻击与无效SSL凭证之安全警告上的回应状况. 基于2002年到2009年之间的许多研究,普遍皆认为大部分使用者多半会忽略安全警告.
700元就可买到同事行踪?安全专家:属实!你不知道的还有这些
- - 雷锋网12月12日,南方都市报的一篇文章《恐怖. 南都记者700元就买到同事行踪包括乘机开房上网吧等11项记录》在朋友圈刷屏了,里面描述了一些恐怖的调查现象:几百块钱就可以买到某个人被泄露的全套个人信息,四大银行存款记录、手机实时定位、手机通话记录……都可以查到,甚至可以进行手机定位,“服务最到位”的是,还有第三方软件为这样的服务提供担保.