%20%E3%81%8C%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%AA%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%AE%E3%81%AF%E3%81%AA%E3%81%9C%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
Chrome で Java プラグイン (JRE) が無効になっているのはなぜですか? セキュリティ上の懸念があるのでしょうか?
公式Javaウェブサイトより:
Chrome は NPAPI (Java アプレットに必要な技術) をサポートしなくなりました。Web ブラウザの Java プラグインは、クロスプラットフォーム プラグイン アーキテクチャ NPAPI に依存しており、これは 10 年以上にわたってすべての主要 Web ブラウザでサポートされてきました。Google の Chrome バージョン 45 (2015 年 9 月にリリース予定) では NPAPI のサポートが廃止され、Silverlight、Java、Facebook Video などの NPAPI ベースのプラグインに影響を及ぼします。
しかし、その理由を知っている人はいますか? 最新バージョンの Java JRE がインストールされている Chrome ユーザーにとって、なぜ危険なのでしょうか?
答え1
Chrome で Java が無効になっているのはなぜですか? セキュリティ上の懸念があるのでしょうか?
Chromium ブログによると、NPAPI と Java を無効にする理由は次のとおりです。
- セキュリティの強化
- 速度の向上
- 安定性の向上
- コードの複雑さの軽減
- 衝突事故の減少
- ハングの減少
- モバイルデバイスのサポート不足
注記:
FirefoxもNPAPIのサポートを廃止します - 参照Firefox の NPAPI プラグイン:
プラグインは、Web ユーザーにとってパフォーマンスの問題、クラッシュ、セキュリティ インシデントの原因となります。
Mozilla は、2016 年末までに Firefox のほとんどの NPAPI プラグインのサポートを削除する予定です。
最新バージョンの Java JRE がインストールされている Chrome ユーザーにとって、どのような危険性があるのでしょうか?
短い答え: ゼロデイエクスプロイト。
脆弱性のもう 1 つの原因は、Java がユーザーの介入や管理者権限を必要としない自動アップデータをリリースしていないことです。たとえば、Google Chrome や Flash Player はリリースしています。この機能により、ユーザーはアクションを求められることなく自動更新を取得できるため、更新が簡単になります。
自動更新システムがないため、多くのユーザーは Java 更新を無視し、過去に Java 更新を感染ベクトルとして使用したマルウェアや同様の経験のせいで、Java 更新をインストールすることを恐れています。
これらすべての脆弱性はサイバー犯罪者が利用しているものであることを知っておいてください。
...
弊社独自のデータベースから抽出されたデータにより、Java は Adobe の Flash プラグインに次いで、継続的なパッチ適用を必要とする 2 番目に大きなセキュリティ脆弱性であることが確認されました。
2015 年だけでも、当社はクライアント向けに Java Runtime Environment のパッチを 105,925 件導入しました。
詳しい説明と解説については、記事の残りの部分をお読みください。
ソースJava の脆弱性がコンピューターの最大のセキュリティホールの 1 つである理由
NPAPI の最終カウントダウン
昨年 9 月、Chrome から NPAPI サポートを削除する計画を発表しました。この変更により、Chrome のセキュリティ、速度、安定性が向上し、コード ベースの複雑さが軽減されます。
古くからの友人 NPAPI に別れを告げる
NPAPI の 90 年代のアーキテクチャは、ハング、クラッシュ、セキュリティ インシデント、コードの複雑さの主な原因となっています。このため、Chrome は今後 1 年間で NPAPI のサポートを段階的に廃止する予定です。Web はこの移行の準備ができていると考えています。NPAPI はモバイル デバイスではサポートされておらず、Mozilla は現在のバージョンの Flash を除くすべてのプラグインをデフォルトでクリックして再生できるようにする予定です。
答え2
としてGoogleによる説明ウェブ ブラウザの初期の頃は、機能を拡張するために Netscape プラグイン API (NPAPI) が必要でした。残念ながら、この API は基盤となるマシンへのアクセスを提供していました。そのため、プラグインに脆弱性があり、攻撃者がそれを悪用した場合、攻撃者はブラウザのサンドボックスを回避してマシンにアクセスできました。
このような攻撃ベクトルは、過去にマシンを感染させるために頻繁に使用されており、ブラウザでJavaを無効にする必要があるというアドバイスにつながっています。Javaプラグインによって提供される多くの機能は、現在ではブラウザ自体に組み込まれており(例:HTML5)、パフォーマンスとセキュリティが向上しているか、サンドボックスで実行される拡張機能(例:塩化ナトリウム)。これが、Java プラグインのサポートを中止するという決定がなされた理由です。リスクは高いですが、実際には必要ありません。
答え3
長い間、Web では、Flash や Silverlight などの他のプラグインとともに、Java から離れる傾向がありました。HTML5 の目標の 1 つは、プラグインを必要としないフレームワークを作成することでした (したがって、 や などのタグ<audio>) <video>。現在、Java をサポートする唯一の理由は、おそらく今では廃止されているはずのレガシー システムとの互換性のためです。
では、なぜJavaのようなプラグインはセキュリティ上の脅威なのでしょうか?それは、歴史が証明しているように、セキュリティホールは常に存在し、さまざまなエクスプロイトを許すからです。Javaバイトコードを実行するVMを保護するのは、JavaScriptのようなインタプリタ型スクリプト言語をサンドボックス化するよりも本質的に難しいのです。これらの統計。
おっしゃるとおり、プラグインを常に最新の状態にしておくのはよい習慣です。しかし、それだけでは十分ではありません。まず、多くの人がそうしていません。スウェーデンの NSA に相当する組織でさえ、セキュリティ上の脆弱性が判明している古い Java プラグインを実行していたことが最近明らかになりました。彼らが正しく対処できないのに、一般の家庭ユーザーがそうすると思いますか? 次に、ゼロデイ攻撃から身を守る方法はありません。Oracle がどれだけ早くパッチをリリースしても、リスクは残ります。
オラクルでさえ、Javaアプレットの時代は終わったと認めています。アルス・テクニカ(2016年1月):
長年にわたり多くのセキュリティ上の欠陥の原因となってきた、悪名高い Java ブラウザ プラグインが、Oracle によって廃止される予定です。悲しまれることはないでしょう。
2010年のサン・マイクロシステムズ買収の一環としてJavaを買収したオラクルは、発表されたこのプラグインは、現在早期アクセス ベータ版として提供されている Java の次のリリースであるバージョン 9 では非推奨になります。将来のリリースでは完全に削除されます。