最近Java的安全漏洞問題,導致不少人人心惶惶。上月美國國土安全部旗下的電腦緊急應變小組(US-CERT)發出警告,由於發現Java有嚴重的安全漏洞,因此建議所有電腦用戶都應該關閉瀏覽器上的Java功能。US-CERT是美國官方機構,很少會對軟件作出如此嚴重的警告,可見該問題十分嚴重。
其後電腦軟件公司Oracle作出回應,為Java發布了修補程式,建議所有用戶必須升級。怎料US-CERT再發出警告,指修補後的Java仍然存在嚴重安全漏洞,呼籲全球用戶立刻解除瀏覽器中的Java軟件。
今次的Java問題,主要針對在瀏覽器中運行的Java程式。事實上,在Flash和HTML5普及以後,愈來愈少網站運行Java。不過,很多商業軟件和網上理財服務,仍然使用Java程式,因此瀏覽器一般會設定為自動執行Java程式。一旦用戶前往內藏惡意軟件或病毒的網站瀏覽,瀏覽器便會自動執行內藏的惡意軟件,令用戶中招。
如果你平時沒有使用Java,最好依US-CERT的建議,在瀏覽器中把Java關閉。若平時有必要使用Java(例如很多網上股票交易都必須以Java啟動),便一定要把Java軟件升級到最新版本。即使新版本的Java仍有安全漏洞,但安全性已比舊版改良,因此必須升級。
升級後,Java預設的安全等級會自動提升至最高,當運行任何未簽名程式時,用戶必須手動允許執行。此外,在毋須使用Java的時候,最好在瀏覽器中把Java關閉,以策安全。
電郵:ray@openrice.com