Chrome에서 Java 플러그인(JRE)이 비활성화된 이유는 무엇입니까?

tag-icon tag-icon google-chrome java
Chrome에서 Java 플러그인(JRE)이 비활성화된 이유는 무엇입니까?

Chrome에서 Java 플러그인(JRE)이 비활성화된 이유는 무엇입니까? 보안 문제가 있습니까?

공식 Java 웹사이트에서:

Chrome은 더 이상 NPAPI(Java 애플릿에 필요한 기술)를 지원하지 않습니다. 웹 브라우저용 Java 플러그인은 10년 넘게 모든 주요 웹 브라우저에서 지원되어 온 크로스 플랫폼 플러그인 아키텍처 NPAPI를 사용합니다. Google의 Chrome 버전 45(2015년 9월 출시 예정)는 NPAPI에 대한 지원을 중단하여 Silverlight, Java, Facebook Video 및 기타 유사한 NPAPI 기반 플러그인용 플러그인에 영향을 미칩니다.

그런데 이유를 아는 사람이 있나요? 최신 버전의 Java JRE가 설치된 Chrome 사용자에게 어떻게 위험할 수 있습니까?

답변1

Chrome에서 Java가 비활성화된 이유는 무엇입니까? 보안 문제가 있습니까?

Chromium 블로그에 따르면 NPAPI 및 Java를 비활성화하는 이유는 다음과 같습니다.

  • 보안 강화
  • 속도 증가
  • 안정성 향상
  • 코드 복잡성 감소
  • 충돌 감소
  • 중단 감소
  • 모바일 장치에 대한 지원 부족

메모:

  • Firefox는 NPAPI에 대한 지원도 중단합니다.Firefox의 NPAPI 플러그인:

    플러그인은 웹 사용자에게 성능 문제, 충돌 및 보안 사고의 원인이 됩니다.

    Mozilla는 2016년 말까지 Firefox에서 대부분의 NPAPI 플러그인에 대한 지원을 제거할 계획입니다.

최신 버전의 Java JRE가 설치된 Chrome 사용자에게 어떻게 위험할 수 있습니까?

짧은 대답: 제로데이 익스플로잇(Zero Day Exploits).

취약점의 또 다른 원인은 Java가 사용자 개입 및 관리 권한이 필요하지 않은 자동 업데이트 프로그램을 출시하지 않았다는 사실입니다. 예를 들어 Google Chrome과 Flash Player가 있습니다. 이 기능을 사용하면 사용자는 조치를 취하라는 메시지 없이 자동 업데이트를 받을 수 있으므로 업데이트가 더 쉬워집니다.

자동 업데이트 시스템이 없기 때문에 많은 사용자는 과거 Java 업데이트를 감염 벡터로 사용한 악성 코드나 유사한 경험으로 인해 Java 업데이트를 무시하고 심지어 설치를 두려워합니다.

이러한 모든 취약점이 사이버 범죄자가 번성하는 이유라는 점만 알아 두십시오.

...

자체 데이터베이스에서 추출한 데이터를 통해 Java가 Adobe Flash 플러그인 다음으로 지속적인 패치가 필요한 두 번째로 큰 보안 취약점이라는 사실이 확인되었습니다.

2015년에만 우리는 이미 클라이언트를 위해 Java Runtime Environment용 105925 패치를 배포했습니다.

여기에 이미지 설명을 입력하세요

자세한 설명과 논평을 보려면 기사의 나머지 부분을 읽어보세요.

원천Java의 취약점이 컴퓨터의 가장 큰 보안 허점 중 하나인 이유는 무엇입니까?

NPAPI 최종 카운트다운

지난 9월 우리는 Chrome에서 NPAPI 지원을 제거할 계획을 발표했습니다. 이는 Chrome의 보안, 속도, 안정성을 향상하고 코드 기반의 복잡성을 줄이는 변경 사항입니다.

원천NPAPI 최종 카운트다운

우리의 오랜 친구 NPAPI에게 작별 인사를 하기

NPAPI의 90년대 아키텍처는 중단, 충돌, 보안 사고 및 코드 복잡성의 주요 원인이 되었습니다. 이로 인해 Chrome은 내년에 NPAPI 지원을 단계적으로 중단할 예정입니다. 우리는 웹이 이러한 전환을 받아들일 준비가 되었다고 생각합니다. NPAPI는 모바일 장치에서 지원되지 않으며 Mozilla는 기본적으로 현재 버전의 Flash 클릭 투 플레이를 제외한 모든 플러그인을 만들 계획입니다.

원천우리의 오랜 친구 NPAPI에게 작별 인사를 하기

답변2

처럼Google에서 설명함, Netscape Plug-in API(NPAPI)는 웹 브라우저 초기에 기능을 확장하기 위해 필요했습니다. 불행하게도 이는 기본 머신에 대한 액세스를 제공했습니다. 따라서 플러그인에 취약점이 포함되어 있고 공격자가 이를 악용한 경우 공격자는 브라우저의 샌드박싱을 우회하여 시스템에 액세스할 수 있었습니다.

이러한 공격 벡터는 과거에 시스템을 감염시키기 위해 많이 사용되었기 때문에 브라우저에서 Java를 비활성화해야 한다는 조언이 나왔습니다. Java 플러그인에서 제공하는 많은 기능은 이제 더 나은 성능과 보안을 갖춘 브라우저 자체(예: HTML5)에 포함되거나 샌드박스에서 실행되는 확장 기능(예: HTML5)에 포함됩니다.NaCL). 이것이 바로 Java 플러그인을 더 이상 지원하지 않기로 결정한 이유입니다. 위험은 높지만 실제로는 필요하지 않습니다.

답변3

오랫동안 웹에서는 Flash나 Silverlight와 같은 다른 플러그인과 함께 Java에서 멀어졌습니다. HTML5의 목표 중 하나는 플러그인이 필요하지 않은 프레임워크를 만드는 것이었습니다(따라서 <audio>및 와 같은 태그 <video>). 지금까지 Java를 지원하는 유일한 이유는 어쨌든 지금쯤 폐기되었을 레거시 시스템과의 호환성 때문입니다.

그렇다면 Java와 같은 플러그인이 보안 위협이 되는 이유는 무엇입니까? 수많은 악용을 허용하는 보안 허점이 항상 꾸준히 존재한다는 것이 역사를 통해 입증되었기 때문입니다. JavaScript와 같은 해석된 스크립트 언어를 샌드박스하는 것보다 Java 바이트코드를 실행하는 VM을 보호하는 것이 본질적으로 더 어렵습니다. 한번보세요이 통계.

말씀하신 대로 플러그인을 최신 상태로 유지하는 것이 좋습니다. 그러나 그것만으로는 충분하지 않습니다. 첫째, 많은 사람들이 그렇지 않습니다. 최근에는 스웨덴의 NSA와 동등한 보안 취약점이 알려진 오래된 Java 플러그인을 실행하고 있다는 사실이 밝혀졌습니다. 제대로 작동하지 않는다면 일반 가정 사용자가 그렇게 할 것이라고 예상하십니까? 둘째, 제로데이로부터 자신을 보호할 수 있는 방법이 없습니다. Oracle이 아무리 빨리 패치를 생성하더라도 위험에 처하게 됩니다.

심지어 Oracle도 Java 애플릿의 시대가 끝났음을 인정했습니다. 에서아르스 테크니카(2016년 1월):

지난 수년간 수많은 보안 결함의 원인으로 악명 높았던 Java 브라우저 플러그인이 오라클에 의해 종료될 예정입니다. 애도하지 않을 것입니다.

2010년 Sun Microsystems 인수의 일환으로 Java를 인수한 Oracle은발표현재 초기 액세스 베타로 제공되는 Java의 다음 릴리스인 버전 9에서는 해당 플러그인이 더 이상 사용되지 않을 예정입니다. 향후 릴리스에서는 완전히 제거될 예정입니다.

관련 정보