เหตุใด Java จึงมีความเสี่ยงด้านความปลอดภัยน้อยกว่าบน Windows, Mac และ Linux

เหตุใด Java จึงมีความเสี่ยงด้านความปลอดภัยน้อยกว่าบน Windows, Mac และ Linux

Java ซึ่งเคยเป็นส่วนประกอบสำคัญของเว็บ ได้รับความนิยมลดลงในช่วงหลายปีที่ผ่านมา เบราว์เซอร์ที่ทันสมัยส่วนใหญ่จะบล็อก Java โดยค่าเริ่มต้น และผู้ใช้ตามบ้านส่วนใหญ่ไม่จำเป็นต้องติดตั้งอีกต่อไป





เราได้ยินมานานแล้วว่า Java เป็นซอฟต์แวร์ชิ้นเดียวที่ไม่ปลอดภัยที่สุดสำหรับคอมพิวเตอร์เดสก์ท็อป โดยเฉพาะ Windows แต่นี่ยังเป็นเรื่องจริงอยู่หรือเปล่า? ลองขุดในและหา



ปัญหาทางประวัติศาสตร์กับ Java

สาเหตุหลักที่ Java กลายเป็นเป้าหมายยอดนิยมสำหรับการโจมตีก็คือความแพร่หลายของมัน เนื่องจาก Java ได้รับการออกแบบมาเพื่อความเข้ากันได้สูงสุด จึงทำงานบนโฮสต์ของอุปกรณ์ นอกจากคอมพิวเตอร์แล้ว Java ยังเสริมพลังให้กับเครื่องเล่น Blu-ray, เครื่องพิมพ์, ระบบชำระเงินค่าจอดรถ, อุปกรณ์จับสลาก และอีกมากมาย ตรงกันข้ามกับการรักษาความปลอดภัยผ่านความสับสน : แพลตฟอร์มหลักให้ผลตอบแทนที่ดีที่สุดสำหรับการโจมตี





แน่นอน เรากังวลกับ Java บนเดสก์ท็อป และที่แย่ที่สุดคือ Java ไม่ได้อัปเดตตัวเองโดยอัตโนมัติ ไม่เหมือนกับโปรแกรมสมัยใหม่อื่น ๆ Java เพียงแค่ขอให้ผู้ใช้ติดตั้งโปรแกรมปรับปรุงเมื่อมี ที่แย่กว่านั้น โดยค่าเริ่มต้น Java จะตรวจสอบการอัปเดตสัปดาห์ละครั้งหรือเดือนละครั้งเท่านั้น นั่นเป็นอันตรายต่อแอปที่มีช่องโหว่ด้านความปลอดภัยมากมาย

วิธีรับบริการอินเทอร์เน็ตชั่วคราว

หลายคนเห็นข้อความแจ้งการอัปเดตและเพิกเฉย ส่งผลให้พวกเขาเรียกใช้ Java เวอร์ชันที่ล้าสมัย และด้วยเวอร์ชันใหม่ที่มีให้เป็นประจำ แม้แต่ผู้ที่ติดตั้งการอัปเดตบางอย่างอาจรู้สึกหงุดหงิดและเพิกเฉยต่อการอัปเดตเพิ่มเติม ในบางกรณี แม้ว่าผู้ใช้จะติดตั้งเวอร์ชันใหม่ พวกเขาจะทิ้งสำเนา Java เก่าไว้ด้วยเช่นกัน สิ่งนี้ทำให้ช่องโหว่ในการโจมตีกว้างขึ้น



แน่นอน เราไม่สามารถลืมเรื่องราวอันยาวนานของ Java ซึ่งรวมถึง แถบเครื่องมือถามที่น่ากลัว . ทุกครั้งที่คุณติดตั้งหรืออัปเดต Java คุณต้องไม่ลืมที่จะยกเลิกการเลือกช่องใดช่องหนึ่ง มิฉะนั้นจะมีขยะชิ้นนั้นรวมอยู่ด้วย แม้ว่าจะไม่ใช่การเอารัดเอาเปรียบ แต่ก็ทิ้งรสชาติที่ไม่ดีไว้ในปากของผู้ใช้

ชวาสมัยใหม่

นั่นเป็นสิ่งที่ผิดปกติกับ Java ในอดีต แต่เมื่อเร็ว ๆ นี้ล่ะ?



ในเดือนตุลาคม 2017 Veracode พบว่า [ไม่มีอีกต่อไป] ว่า 88 เปอร์เซ็นต์ของแอปพลิเคชัน Java มีส่วนประกอบที่มีช่องโหว่อย่างน้อยหนึ่งองค์ประกอบ ในต้นปี 2559 Oracle ประกาศว่า แม้แต่ตัวติดตั้ง Java ก็มีความเสี่ยง . หากผู้โจมตีวางไฟล์ DLL ที่มีชื่อเฉพาะในโฟลเดอร์ Downloads ของคุณ มันจะทริกเกอร์การติดไวรัสเมื่อคุณรันโปรแกรมติดตั้ง Java และโดยทั่วไป เนื่องจากความนิยมของ Java คุณเพียงแค่ต้อง เยี่ยมชมเว็บไซต์ที่ถูกบุกรุก ที่ใช้ประโยชน์จาก Java ที่ล้าสมัยของคุณเพื่อติดไวรัส

แม้ว่าสิ่งนี้หมายความว่า Java นั้นห่างไกลจากความปลอดภัย แต่ก็มีข่าวดีเช่นกัน ในต้นปี 2559 ออราเคิลประกาศ ว่ามีแผนจะเลิกใช้ปลั๊กอินของเบราว์เซอร์ Java (ซึ่งเป็นสาเหตุของปัญหาส่วนใหญ่) ใน JDK 9 ซึ่งมีให้ใช้งานแล้วในขณะนี้ เบราว์เซอร์สมัยใหม่ได้ทิ้ง Java ไว้เบื้องหลังเช่นกัน Chrome เลิกรองรับ Java ในปลายปี 2558 และ Firefox หยุดสนับสนุนแล้ว ในต้นปี 2560 เบราว์เซอร์ Edge ของ Microsoft ที่มาพร้อมกับ Windows 10 ไม่รองรับ Java เลย .



ซึ่งหมายความว่าหากคุณต้องการใช้ Java ในเบราว์เซอร์จริงๆ คุณจะต้องใช้ Internet Explorer

ช่องโหว่ที่ใหญ่ที่สุด

เนื่องจาก Java ได้รับความนิยมลดลง อะไรคือซอฟต์แวร์เดสก์ท็อปที่ไม่ปลอดภัยที่สุด?

ข้อมูลล่าสุดของ Flexera จากไตรมาสที่ 1 ปี 2560 พบว่า 7.8% ของโปรแกรมบนพีซีโดยเฉลี่ยได้สิ้นสุดอายุขัยแล้ว โดยจัดอันดับโปรแกรมที่เปิดเผยมากที่สุด 10 อันดับแรก โดยพิจารณาจากส่วนแบ่งตลาดคูณด้วยเปอร์เซ็นต์ของผู้ใช้ที่ไม่ได้รับการแพตช์:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle สำหรับพีซี 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud สำหรับ Windows 6.x

รายการนี้อาจทำให้คุณประหลาดใจ แม้ว่า Java จะไม่ใช่โปรแกรมที่เสี่ยงที่สุด แต่ก็ยังเป็นโปรแกรมที่สอง โปรแกรมอื่นๆ ที่โดยปกติแล้วเราไม่ได้เชื่อมโยงกับความเสี่ยงด้านความปลอดภัย เช่น VLC และ Malwarebytes ก็มีความสำคัญเช่นกัน สิ่งนี้แสดงให้เห็นถึงความสำคัญของการรักษาซอฟต์แวร์ทั้งหมดของคุณให้เป็นปัจจุบัน ไม่ใช่แค่ซอฟต์แวร์ยอดนิยมเท่านั้น

เราสามารถดูเพิ่มเติมได้โดยการตรวจสอบ รายงานความปลอดภัย Q3 2017 ของ Avast . มันแสดงรายการโปรแกรมที่ล้าสมัยมากที่สุด 10 อันดับแรกบนพีซีของผู้ใช้:

  1. Java 6, 7 และ 8
  2. Adobe Air
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. ควิกไทม์
  10. Adobe Flash Player

เมื่อคุณรวมเวอร์ชันที่เก่ากว่า ดูเหมือนว่า Java ยังคงเป็นซอฟต์แวร์ที่อัปเดตน้อยที่สุด ปลั๊กอินของ Adobe ก็เป็นต้นเหตุใหญ่เช่นกัน และเราเห็น iTunes และ VLC สร้างรายการนี้เช่นกัน

ในทางกลับกัน ตาม TechRadar , Chrome มาเหนือกว่าสำหรับแอปที่อัปเดต จากการสำรวจพบว่า 88% ของผู้ใช้ที่ใช้ Chrome ได้รับการติดตั้งเวอร์ชันล่าสุด สิ่งนี้แสดงให้เห็นว่าการอัปเดตอัตโนมัติแบบเงียบสร้างความแตกต่างอย่างมาก เมื่อเทียบกับการแจ้งการอัปเดตที่จู้จี้ที่ใช้โดยรันไทม์ของ Java และ Adobe

อย่าลืมการอัปเดตระบบปฏิบัติการด้วย

องค์ประกอบที่สำคัญอีกประการของการอัปเดตที่ต้องจำไว้คือการอัปเดตระบบปฏิบัติการ โปรดจำไว้ว่า ผู้ใช้ที่ติดตั้งการอัปเดตอัตโนมัติจะรอดพ้นจากการโจมตีของแรนซัมแวร์ที่เลวร้ายในช่วงกลางปี ​​2017 แม้ว่าคุณจะอัปเดตซอฟต์แวร์ เช่น Java ให้ทันสมัยอยู่เสมอ แต่คอมพิวเตอร์ของคุณก็ยังมีความเสี่ยงหากคุณไม่ติดตั้งการอัปเดตของ Windows

Windows 10 ทำให้การอัปเดตอัตโนมัติเหล่านี้เป็นเรื่องง่าย แต่ Windows 7 อาจปิดใช้งานการอัปเดตเหล่านี้ และผู้ที่ยังคงใช้ Windows XP เกือบสี่ปีหลังจากสิ้นสุดอายุการใช้งานกำลังตกอยู่ในความเสี่ยงครั้งใหญ่

Java อันตรายแค่ไหน?

เมื่อรวมกันแล้ว เรายังพูดได้ว่า Java มีความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดสำหรับเดสก์ท็อปหรือไม่ ไม่เชิง. ในด้านลบ ผู้คนยังคงใช้งาน Java เวอร์ชันที่ล้าสมัย แม้ว่าพวกเขาจะไม่ต้องการมันจริงๆ สิ่งนี้ทำให้พวกเขามีช่องโหว่ด้านความปลอดภัย อย่างไรก็ตาม เนื่องจากเบราว์เซอร์ส่วนใหญ่ไม่รองรับ Java อีกต่อไป จึงไม่เปิดให้โจมตีเหมือนที่เคยเป็นมา

ลิงค์ที่อ่อนแอในความปลอดภัยของคอมพิวเตอร์ของคุณมาจากซอฟต์แวร์ยอดนิยมที่คุณไม่ได้อัปเดต . หากคุณมี Java เวอร์ชันใหม่ล่าสุดแต่ยังไม่มี ถอนการติดตั้ง QuickTime ที่ไม่รองรับสำหรับ Windows นั่นเป็นความเสี่ยงที่ยิ่งใหญ่ การมี Flash, Adobe Reader หรือ iTunes เวอร์ชันเก่าอาจเปิดโอกาสให้คุณโจมตีได้เช่นกัน

เราสามารถรวบรวมข้อมูลจากด้านบนได้ว่าโปรแกรมที่ไม่มีการอัปเดตอัตโนมัติมักมีความปลอดภัยน้อยที่สุด ตัวอย่างเช่น iTunes จะขอให้ผู้ใช้อัปเดตอยู่เสมอ ซึ่งเป็นเรื่องที่น่ารำคาญ สิ่งนี้ทำให้ผู้คนเพิกเฉยต่อการอัปเดตและปล่อยให้มีการติดตั้งเวอร์ชันที่ไม่ปลอดภัยไว้

สิ่งที่เกี่ยวกับ Mac และ Linux?

เราได้เน้นที่ Java สำหรับ Windows ข้างต้น แต่ก็คุ้มค่าที่จะกล่าวถึงอย่างรวดเร็วว่าสิ่งนี้ส่งผลต่อผู้ใช้ Mac และ Linux อย่างไร

น่าแปลกที่ Apple ไม่อนุญาตให้ปลั๊กอินทำงานโดยค่าเริ่มต้นใน Safari แต่เบราว์เซอร์ยังคงรองรับปลั๊กอินเก่าอย่าง Java และ Silverlight แม้ว่าคุณควรถอนการติดตั้ง Java บน Mac ของคุณ เว้นแต่คุณต้องการด้วยเหตุผลเฉพาะ Java ไม่ได้สร้างปัญหามากมายให้กับผู้ใช้ Mac เช่นเดียวกับใน Windows เมื่อเร็ว ๆ นี้ ช่องโหว่ด้านความปลอดภัยส่วนใหญ่ใน macOS เกิดจากการกำกับดูแลของ Apple เอง

Linux ยังไม่เห็นช่องโหว่ของ Java ที่ไม่เหมือนใคร หากคุณต้องการเบราว์เซอร์ที่รองรับ Java บน Linux คุณสามารถลองใช้ ESR (Extended Support Release) ของ Firefox . Firefox มีเวอร์ชันนี้สำหรับสภาพแวดล้อมทางธุรกิจ มีการอัปเดตความปลอดภัยล่าสุด แต่ต้องรอนานกว่าที่จะเปิดตัวการอัปเดตฟีเจอร์ เวอร์ชันปัจจุบัน 52 รองรับ Java และปลั๊กอินรุ่นเก่าอื่นๆ จะสามารถใช้ได้จนถึงช่วงไตรมาสที่ 2 ของปี 2018

อนาคตที่ปราศจากปลั๊กอิน

ข่าวดีก็คือคุณไม่จำเป็นต้องติดตั้งปลั๊กอินที่อาจเป็นอันตรายและน่ารำคาญเหล่านี้อีกต่อไป มีเว็บไซต์เพียงไม่กี่แห่งที่ใช้ Java และโปรแกรมหลักที่ผู้คนติดตั้ง Java ไว้สำหรับ Minecraft--- รวม Java เวอร์ชันบันเดิลที่ปลอดภัยแล้วตอนนี้ . ปลั๊กอินอื่นๆ ก็ไม่จำเป็นเช่นกัน Microsoft เลิกใช้ Silverlight เมื่อหลายปีก่อน และคุณคงยากที่จะหาไซต์ที่มีเนื้อหา Shockwave

แฟลชเป็นข้อยกเว้นเพียงอย่างเดียว เบราว์เซอร์ส่วนใหญ่ยังคงรองรับเนื่องจากความนิยม แต่ Adobe จะปิดตัวลงในปี 2020 . ก่อนหน้านั้น ตรวจสอบให้แน่ใจว่าได้อัปเดต Flash บนพีซีของคุณแล้ว Chrome ทำโดยอัตโนมัติ ดังนั้นคุณอาจไม่ได้ติดตั้งอีกต่อไป (ซึ่งดีมาก)

กล่าวโดยย่อ: Java ยังคงไม่ปลอดภัย แต่มีความเสี่ยงน้อยกว่าเนื่องจากเบราว์เซอร์ปิดการใช้งาน คุณควรถอนการติดตั้งโปรแกรมที่คุณไม่ต้องการ (รวมถึงปลั๊กอินเก่า) อัปเดตซอฟต์แวร์บนคอมพิวเตอร์ของคุณ และใช้การอัปเดตระบบปฏิบัติการ หากคุณทำเช่นนี้ คุณจะมีสวัสดิภาพ

เครดิตรูปภาพ: avemario/ ฝากรูปถ่าย

แบ่งปัน แบ่งปัน ทวีต อีเมล วิธีเปลี่ยนรูปลักษณ์และความรู้สึกของเดสก์ท็อป Windows 10 ของคุณ

ต้องการทราบวิธีทำให้ Windows 10 ดูดีขึ้นหรือไม่? ใช้การปรับแต่งง่ายๆ เหล่านี้เพื่อทำให้ Windows 10 เป็นของคุณเอง

อ่านต่อไป หัวข้อที่เกี่ยวข้อง
  • ความปลอดภัย
  • Java
  • ความปลอดภัยของคอมพิวเตอร์
เกี่ยวกับผู้เขียน Ben Stegner(เผยแพร่บทความ 1735 บทความ)

เบ็นเป็นรองบรรณาธิการและผู้จัดการการเริ่มต้นใช้งานที่ MakeUseOf เขาลาออกจากงานไอทีเพื่อเขียนงานเต็มเวลาในปี 2559 และไม่เคยหันหลังกลับ เขาสอนเนื้อหาเกี่ยวกับบทเรียนด้านเทคนิค คำแนะนำเกี่ยวกับวิดีโอเกม และอื่นๆ ในฐานะนักเขียนมืออาชีพมากว่าเจ็ดปี

เพิ่มเติมจาก Ben Stegner

สมัครรับจดหมายข่าวของเรา

เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!

คลิกที่นี่เพื่อสมัครสมาชิก