Компания Oracle выпустила Java SE Development Kit 7, Update 10 (JDK 7u10), в котором исправлен ряд уязвимостей в безопасности, а также реализовано одно важное изменение.
С помощью JDK 7u10 пользователь может запретить запуск любого приложения Java в браузере, через плагин Java. Такой режим устанавливается через Java Control Panel или (при установке под Windows) с помощью соответствующего ключа в командной строке, во время инсталляции.
Это очень важное нововведение, которое указывает на то, что компания Oracle признаёт наличие серьёзной проблемы с безопасностью Java-апплетов. Как известно, из-за многочисленных 0day-уязвимостей и эксплойтов для Java специалисты по безопасности в августе 2012 года даже рекомендовали полностью отключить Java-плагин во всех браузерах. Компания Oracle довольно неторопливо закрывает обнаруженные уязвимости, поэтому Java-эксплойты в последнее время стали одним из самых эффективных инструментов в эксплойт-паках, особенно учитывая их работоспособность одновременно на нескольких платформах и распространённость этой технологии.
Теперь пользователь может установить «уровень безопасности» для неподписанных Java-апплетов, приложений Java Web Start и встроенных приложений JavaFX, которые могут работать в браузере. Поддерживается четыре уровня безопасности.
При установке под Windows можно использовать один из параметров в командной строке.
WEB_JAVA=0 запрещает исполнение Java-апплетов в браузере.
WEB_JAVA_SECURITY_LEVEL=VH устанавливает уровень безопасности “very high”.
WEB_JAVA_SECURITY_LEVEL=H устанавливает уровень безопасности “high”.
WEB_JAVA_SECURITY_LEVEL=M устанавливает уровень безопасности “medium”.
WEB_JAVA_SECURITY_LEVEL=L устанавливает уровень безопасности “low”.
Кроме того, реализован новый диалог, который предупреждает о «низком уровне безопасности JRE» в случае, если необходимо выполнить обновление или выбраны слабые настройки безопасности.
