【大纪元1月12日报导】(中央社记者钟荣峰台北12日电)美国国土安全部警告,Java软体有风险,民众应停止使用。资策会资安所组长陈世仁建议,一般使用者或企业可采用三大措施防范,最重要还是建立安全基准的资安机制。
美国国土安全部(US Department of Homeland Security)日前警告,商用软体大厂甲骨文公司(Oracle)的Java软体非常危险,民众应停止使用。
美国电脑安全紧急应变小组(CERT)在官网上的通知说:“这个漏洞正受到公开攻击,且据报漏洞已经被收入攻击工具中。”
“我们目前还没发现可行的解决方案。”建议的做法是解除安装Java。
资讯工业策进会资安科技研究所组长陈世仁表示,Java是普遍应用在互动式网页的程式语言,不过因近日Java 7 Update10及更早期版本,出现重大资安漏洞,被评分为风险最高的资安弱点,引起美国国土安全部提出警告。
陈世仁建议,一般使用者和企业单位在使用网路浏览器时,可以采取以下三种保护措施防范,降低Java漏洞带来的潜在风险。
首先,使用者可评估该网页使用Java的必要性,并将预设的启用改为提示。方法很简单,开启网路浏览器后,可以点选工具列的“网际网路选项”,修改安全性设定功能。
使用者点选工具列的“网际网路选项”后,进入其中的“安全性”选项,进一步选取安全性“自订等级”选项;在“自订等级”设定栏位中,选择“指令码处理”,把其中的“以指令码执行Java Applet”内的“启用”功能,改成“提示”功能。再者,公部门或民间企业单位应在内部推广使用者终端电脑安全基准,加强资安防范观念。
这次美国国土安全部大张旗鼓建议民众解除安装Java,以预防漏洞风险,陈世仁指出,一般当资安漏洞被发现到被修补之间的空档,最容易为骇客利用,预先设定严格标准,从源头开始防范,可有效降低风险,来达到事先安全控制的效果;这也显示美国政府积极推动资安防范概念、推动安全基准的决心。
另外,陈世仁表示,除定期更新电脑系统与防毒软体等良好资安认知建立外,知名入口网站如Google,也会帮使用者判断浏览网页安全,当使用者欲浏览的网页有恶意程式及内容威胁时主动警告提示,使用者也可借此多加注意防范。
