甲骨文计划杀死攻击者的最爱:Java浏览器插件
Oracle将频繁地退出Java浏览器插件,经常从现在开始的基于Web的漏洞利用的目标。然而,残余物可能会在此之后延长。
“Oracle计划在JDK 9中贬值Java浏览器插件,”Java Platform Group在周三的博客文章中表示。“在未来的Java SE版本中,将从Oracle JDK和JRE中删除此技术。”
Java开发套件(JDK)9,Next版本的Java SE的参考实施,预计将于2017年3月达到一般可用性。但是,到那时,大多数现代浏览器都将不再接受Java浏览器插件。
10月宣布Mozilla计划在2016年底之前删除Firefox中的插件支持。Chrome Disablist Support在9月份为插件,如Java和Silverlight,使用旧的Netscape插件应用程序编程接口(NPAPI)标准。Microsoft“SEDED浏览器”也不支持即插即用。
通过Internet Explorer和Safari,唯一一个设置为仍然接受传统的NPAPI插件2016年的浏览器,Oracle几乎强制进入此决定,即使Chrome确实支持一个名为PPAPI(Pepper插件API)的新插件技术。
“Oracle不计划提供额外的浏览器专用插件,因为此类插件需要应用程序开发人员为他们希望支持的每个浏览器编写特定于浏览器的小程序,”该公司在一篇白皮书中表示,概述开发人员的迁移选项。“而且,没有跨浏览器API,Oracle只能提供所需功能的子集,与下一个浏览器不同,影响应用程序开发人员和用户。”
本公司提出的主要替代方案是从Java小程序切换到Java Web Start应用程序。此类应用程序可以从Web启动,而无需浏览器插件。
尽管如此,虽然,java web启动应用程序可以用作攻击向量,以利用Java运行时中的漏洞,就像applet。
即使在java插件退休后,它可能会在未来几年内继续安装它。在商业环境中尤其如此,其中自定义内置的基于Web的Java应用程序很常见,不能轻易替换或重写。
即使是现在,对于应用程序兼容性原因,也有大量的计算机在业务环境中继续使用Java 6或Java 7,不再接收公共安全更新的版本。