Tại sao Java lại ít rủi ro về bảo mật hơn bây giờ trên Windows, Mac và Linux

Tại sao Java lại ít rủi ro về bảo mật hơn bây giờ trên Windows, Mac và Linux

Java, từng là một thành phần quan trọng của web, đã giảm phổ biến trong vài năm qua. Hầu hết các trình duyệt hiện đại đều chặn Java theo mặc định và phần lớn người dùng gia đình không cần cài đặt nó nữa.





Từ lâu, chúng ta đã nghe nói rằng Java là phần mềm không an toàn nhất cho máy tính để bàn, đặc biệt là Windows. Nhưng liệu điều này có còn đúng? Hãy cùng đào sâu và tìm hiểu.



Các vấn đề lịch sử với Java

Lý do chính khiến Java trở thành mục tiêu tấn công phổ biến như vậy là do mức độ phổ biến của nó. Vì Java được thiết kế để có khả năng tương thích tối đa nên nó chạy trên nhiều thiết bị. Ngoài máy tính, Java hỗ trợ đầu phát Blu-ray, máy in, hệ thống thanh toán khi đỗ xe, thiết bị xổ số, v.v. Nó đối lập với bảo mật thông qua sự che giấu: một nền tảng chính cung cấp phần thưởng tốt nhất cho một cuộc tấn công.





Tất nhiên, chúng tôi quan tâm đến Java trên máy tính để bàn. Và ở đó, lỗi tồi tệ nhất là Java không tự động cập nhật chính nó. Không giống như hầu hết các chương trình hiện đại khác, Java chỉ yêu cầu người dùng cài đặt các bản cập nhật khi có sẵn. Tệ hơn nữa, theo mặc định, Java chỉ kiểm tra các bản cập nhật mỗi tuần một lần hoặc thậm chí mỗi tháng một lần. Điều đó thật nguy hiểm đối với một ứng dụng có quá nhiều lỗ hổng bảo mật.

làm thế nào để lấy lại vệt nhanh của bạn

Nhiều người nhìn thấy lời nhắc cập nhật và bỏ qua nó, dẫn đến việc họ chạy phiên bản Java lỗi thời. Và với các phiên bản mới được cung cấp thường xuyên, ngay cả những người cài đặt một số bản cập nhật cũng có thể bực bội và bỏ qua các bản cập nhật khác. Trong một số trường hợp, ngay cả khi người dùng cài đặt phiên bản mới, họ vẫn để cài đặt bản sao Java cũ. Điều này làm tăng nguy cơ bị tấn công của chúng.



Tất nhiên, chúng ta không thể quên câu chuyện lâu dài của Java về việc bao gồm Thanh công cụ Hỏi khủng khiếp . Mỗi khi bạn cài đặt hoặc cập nhật Java, bạn phải nhớ bỏ chọn một hộp nếu không nó sẽ bao gồm phần rác đó. Mặc dù không phải là một lợi ích, điều này đã để lại một hương vị xấu trong miệng của người dùng.

Java hiện đại

Vì vậy, đó là những gì đã sai với Java trong quá khứ, nhưng gần đây thì sao?



Vào tháng 10 năm 2017, Veracode nhận thấy [Không còn khả dụng] rằng 88 phần trăm ứng dụng Java có chứa ít nhất một thành phần dễ bị tấn công. Vào đầu năm 2016, Oracle đã thông báo rằng ngay cả trình cài đặt Java cũng dễ bị tấn công . Nếu kẻ tấn công đặt tệp DLL có tên cụ thể trong thư mục Tải xuống của bạn, nó sẽ kích hoạt nhiễm trùng khi bạn chạy trình cài đặt Java. Và nói chung, do sự phổ biến của Java, bạn chỉ cần truy cập một trang web bị xâm phạm đã lợi dụng bản sao Java lỗi thời của bạn để bị nhiễm.

Mặc dù điều này có nghĩa là Java không còn an toàn, nhưng cũng có một tin tốt. Đầu năm 2016, Oracle đã công bố rằng nó có kế hoạch không dùng plugin trình duyệt Java (là nguồn gốc của hầu hết các vấn đề) trong JDK 9, hiện đã có sẵn. Các trình duyệt hiện đại cũng bỏ lại Java. Chrome bỏ hỗ trợ cho Java vào cuối năm 2015, và Firefox đã ngừng hỗ trợ nó vào đầu năm 2017. Trình duyệt Edge của Microsoft, được bao gồm trong Windows 10, hoàn toàn không hỗ trợ Java .



Điều này có nghĩa là nếu bạn thực sự cần sử dụng Java trong trình duyệt, bạn sẽ phải gắn bó với Internet Explorer.

Các lỗ hổng lớn nhất

Vì Java ngày càng phổ biến, điều gì đã chiếm vị trí của nó như là phần mềm máy tính để bàn không an toàn nhất?

Dữ liệu mới nhất của Flexera , từ Q1 2017, cho thấy 7,8% chương trình trên PC trung bình đã hết thời gian sử dụng. Nó xếp hạng 10 chương trình được tiếp xúc nhiều nhất, dựa trên thị phần nhân với phần trăm người dùng không được vá:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle cho PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud dành cho Windows 6.x

Danh sách này có thể khiến bạn ngạc nhiên. Mặc dù Java không phải là chương trình rủi ro nhất, nhưng nó vẫn là chương trình thứ hai. Các chương trình khác mà chúng tôi thường không liên quan đến các rủi ro bảo mật, như VLC và Malwarebytes, cũng giữ một vị trí. Điều này cho thấy tầm quan trọng của việc cập nhật tất cả phần mềm của bạn, không chỉ những phần mềm phổ biến.

Chúng ta có thể xem thêm bằng cách kiểm tra Báo cáo bảo mật quý 3 năm 2017 của Avast . Nó liệt kê 10 chương trình lỗi thời nhất trên PC của người dùng:

  1. Java 6, 7 và 8
  2. Adobe Air
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Thời gian nhanh chóng
  10. Adobe Flash Player

Khi bạn bao gồm các phiên bản cũ hơn, có vẻ như Java vẫn đứng đầu phần mềm được cập nhật ít nhất. Các plugin của Adobe cũng là thủ phạm lớn và chúng tôi thấy iTunes và VLC cũng nằm trong danh sách này.

Ngược lại, theo TechRadar , Chrome đi đầu cho các ứng dụng được cập nhật. Khi được khảo sát, 88% người dùng chạy Chrome đã cài đặt phiên bản mới nhất. Điều này cho thấy các bản cập nhật tự động im lặng tạo ra sự khác biệt lớn như thế nào, so với các lời nhắc cập nhật dai dẳng được sử dụng bởi Java và Adobe.

Cũng đừng quên cập nhật hệ điều hành

Một thành phần quan trọng khác của cập nhật cần nhớ là cập nhật hệ điều hành. Hãy nhớ rằng những người dùng đã cài đặt các bản cập nhật tự động đã được thoát khỏi cuộc tấn công ransomware khủng khiếp vào giữa năm 2017. Ngay cả khi bạn luôn cập nhật phần mềm như Java, máy tính của bạn vẫn gặp rủi ro nếu bạn không cài đặt các bản cập nhật Windows.

Windows 10 giúp các bản cập nhật tự động này trở nên dễ dàng, nhưng những bản cập nhật trên Windows 7 có thể đã vô hiệu hóa chúng. Và những người vẫn sử dụng Windows XP gần 4 năm sau khi nó hết hạn sử dụng đang tự đặt mình vào nguy cơ lớn.

Java thực sự nguy hiểm như thế nào?

Tổng hợp tất cả lại, chúng ta vẫn có thể nói rằng Java là rủi ro bảo mật lớn nhất đối với máy tính để bàn? Không hẳn vậy. Về mặt tiêu cực, mọi người vẫn tiếp tục chạy các phiên bản Java lỗi thời mặc dù họ thực sự không cần đến nó. Điều này mở ra cho họ các lỗ hổng bảo mật. Tuy nhiên, vì hầu hết các trình duyệt không hỗ trợ Java nữa, nên chúng không sẵn sàng tấn công như trước đây.

Liên kết yếu trong bảo mật máy tính của bạn đến từ phần mềm phổ biến nhất mà bạn không cập nhật . Nếu bạn có phiên bản Java mới nhất nhưng vẫn chưa đã gỡ cài đặt QuickTime không được hỗ trợ cho Windows , đó là một rủi ro lớn. Có phiên bản Flash, Adobe Reader hoặc iTunes đã lỗi thời cũng có thể khiến bạn bị tấn công.

Chúng tôi có thể thu thập từ dữ liệu ở trên rằng các chương trình không có cập nhật tự động thường kém an toàn nhất. Ví dụ, iTunes liên tục yêu cầu người dùng cập nhật, điều này thật khó chịu. Điều này khiến mọi người bỏ qua các bản cập nhật và cài đặt một phiên bản không an toàn.

Còn Mac và Linux thì sao?

Chúng tôi đã tập trung vào Java cho Windows ở trên, nhưng cần nhanh chóng đề cập đến việc điều này ảnh hưởng đến người dùng Mac và Linux như thế nào.

Đáng ngạc nhiên là trong khi Apple không cho phép các plugin chạy theo mặc định trong Safari, trình duyệt này vẫn hỗ trợ các plugin cũ như Java và Silverlight. Mặc dù bạn nên gỡ cài đặt Java trên máy Mac của mình trừ khi bạn cần nó vì một lý do cụ thể, Java đã không gây ra nhiều vấn đề cho người dùng Mac như trên Windows. Gần đây, hầu hết các lỗ hổng bảo mật trong macOS đều nhờ vào sự giám sát của chính Apple.

Linux cũng không thấy bất kỳ lỗ hổng Java duy nhất nào. Nếu bạn cần một trình duyệt hỗ trợ Java trên Linux, bạn có thể thử Phiên bản ESR (Bản phát hành hỗ trợ mở rộng) của Firefox . Firefox cung cấp phiên bản này cho môi trường kinh doanh; nó cung cấp các bản cập nhật bảo mật mới nhất nhưng chờ lâu hơn để tung ra các bản cập nhật tính năng. Phiên bản hiện tại, 52, hỗ trợ Java và các plugin kế thừa khác sẽ có sẵn cho đến khoảng quý 2 năm 2018.

Một tương lai không có plugin

Tin tốt là bạn không cần cài đặt hầu hết các plugin nguy hiểm và khó chịu này nữa. Rất ít trang web sử dụng Java và chương trình chính mà mọi người cài đặt Java cho --- Minecraft --- bao gồm một phiên bản Java đi kèm an toàn ngay bây giờ . Các plugin khác cũng không cần thiết. Microsoft đã ngừng sử dụng Silverlight từ nhiều năm trước và bạn sẽ khó tìm thấy một trang web có nội dung Shockwave.

Flash là ngoại lệ duy nhất. Hầu hết các trình duyệt vẫn hỗ trợ nó do tính phổ biến của nó, nhưng Adobe sẽ khai tử nó vào năm 2020 . Cho đến lúc đó, hãy cẩn thận để đảm bảo bạn cập nhật Flash trên PC của mình. Chrome tự động làm như vậy, vì vậy bạn thậm chí có thể không cài đặt nó nữa (thật tuyệt).

Tóm lại: Java vẫn không an toàn nhưng ít rủi ro hơn nhờ các trình duyệt vô hiệu hóa nó. Bạn nên gỡ cài đặt các chương trình bạn không cần (bao gồm cả các plugin cũ), giữ cho phần mềm trên máy tính của bạn được cập nhật và áp dụng các bản cập nhật hệ điều hành. Nếu bạn làm điều này, bạn sẽ khá giả.

Tín dụng hình ảnh: avemario / Tiền gửi

Đăng lại Đăng lại tiếng riu ríu E-mail Cách thay đổi giao diện của màn hình Windows 10 của bạn

Bạn muốn biết cách làm cho Windows 10 trông đẹp hơn? Sử dụng các tùy chỉnh đơn giản này để biến Windows 10 của riêng bạn.

Đọc tiếp Chủ đề liên quan
  • Bảo vệ
  • Java
  • Bảo mật máy tính
Giới thiệu về tác giả Ben Stegner(1735 bài báo đã được xuất bản)

Ben là Phó biên tập viên và Giám đốc giới thiệu tại MakeUseOf. Anh ấy đã rời bỏ công việc CNTT của mình để viết toàn thời gian vào năm 2016 và chưa bao giờ nhìn lại. Anh ấy đã bao gồm các hướng dẫn công nghệ, đề xuất trò chơi điện tử và hơn thế nữa với tư cách là một nhà văn chuyên nghiệp trong hơn bảy năm.

Xem thêm từ Ben Stegner

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký