Chrome에서 Java 플러그인 (JRE)이 비활성화 된 이유는 무엇입니까?

Chrome에서 Java 플러그인 (JRE)이 비활성화 된 이유는 무엇입니까? 보안 문제가 있습니까?

공식 Java 웹 사이트에서 :

Chrome은 더 이상 NPAPI (Java 애플릿에 필요한 기술)를 지원하지 않습니다. 웹 브라우저 용 Java 플러그인은 십여 년 동안 모든 주요 웹 브라우저에서 지원되는 크로스 플랫폼 플러그인 아키텍처 NPAPI를 사용합니다. 2015 년 9 월 출시 예정인 Google의 Chrome 버전 45는 NPAPI에 대한 지원을 중단하여 Silverlight, Java, Facebook Video 및 기타 유사한 NPAPI 기반 플러그인의 플러그인에 영향을줍니다.

그러나 아무도 왜 알지? 최신 버전의 Java JRE가 설치된 Chrome 사용자에게는 어떻게 위험 할 수 있습니까?

Chrome에서 Java가 비활성화 된 이유는 무엇입니까? 보안 문제가 있습니까?

NPAPI 및 그에 따른 Java를 비활성화해야하는 이유는 Chromium 블로그에 따라 다음과 같습니다.

• 보안 강화
• 속도 증가
• 안정성 향상
• 코드 복잡성 감소
• 충돌 감소
• 중단 감소
• 모바일 장치에 대한 지원 부족

노트 :

• Firefox는 NPAPI에 대한 지원도 중단 하고 있습니다. Firefox의 NPAPI 플러그인 참조 :

  플러그인은 웹 사용자의 성능 문제, 충돌 및 보안 사고의 원인입니다.

  Mozilla는 2016 년 말까지 Firefox에서 대부분의 NPAPI 플러그인에 대한 지원을 제거 할 계획입니다.

최신 버전의 Java JRE가 설치된 Chrome 사용자에게는 어떻게 위험 할 수 있습니까?

짧은 대답 : 제로 데이 익스플로잇.

취약점의 또 다른 원인은 Java가 사용자 개입 및 관리 권한이 필요없는 자동 업데이터를 출시하지 않았기 때문입니다. 예를 들어 Chrome 및 Flash Player에는 있습니다. 이 기능을 통해 사용자는 조치를 취하라는 메시지없이 자동 업데이트를받을 수 있으므로 업데이트가 더 쉬워집니다.

자동 업데이트 시스템이 없기 때문에 많은 사용자는 과거 또는 유사한 경험에서 Java 업데이트를 감염 벡터로 사용한 맬웨어로 인해 Java 업데이트를 무시하고 설치를 두려워 할 수도 있습니다.

이 모든 취약점이 사이버 범죄자가 번성하는 것임을 아십시오.

...

자체 데이터베이스에서 추출한 데이터에 따르면 Java는 Adobe의 Flash 플러그인 이후 지속적인 패치 적용이 필요한 두 번째로 큰 보안 취약점입니다.

2015 년에만 클라이언트를 위해 Java 런타임 환경 용 105925 패치를 이미 배포했습니다.

자세한 설명과 주석은 기사의 나머지 부분을 읽으십시오.

출처 Java의 취약점이 컴퓨터에서 가장 큰 보안 허점 중 하나 인 이유는 무엇입니까?

NPAPI의 최종 카운트 다운

지난 9 월 Chrome의 NPAPI 지원을 제거하여 Chrome의 보안, 속도 및 안정성을 개선하고 코드 기반의 복잡성을 줄이는 변경 사항을 발표했습니다.

소스 NPAPI에 대한 최종 카운트 다운

오랜 친구 NPAPI에게 작별 인사

NPAPI의 90 년대 아키텍처는 중단, 충돌, 보안 사고 및 코드 복잡성의 주요 원인이되었습니다. 이 때문에 Chrome은 내년에 NPAPI 지원을 중단 할 것입니다. 우리는 웹이이 전환을위한 준비가되어 있다고 생각합니다. 모바일 장치에서는 NPAPI가 지원되지 않으며 Mozilla는 기본적으로 현재 버전의 Flash 클릭 투 플레이를 제외한 모든 플러그인을 만들 계획입니다.

소스 우리의 오랜 친구 NPAPI에 작별 인사

으로 구글에 의해 설명 , 넷스케이프 플러그인 API (NPAPI)가 자신의 기능을 확장하기 위해 웹 브라우저의 초기에 필요했다. 불행히도, 기본 시스템에 대한 액세스를 제공했습니다. 따라서 플러그인에 취약점이 포함되어 있고 공격자가이를 악용 한 경우 공격자는 브라우저의 샌드 박스를 우회하여 컴퓨터에 액세스 할 수 있습니다.

이러한 공격 벡터는 과거에 컴퓨터를 감염시키는 데 많이 사용되어 브라우저에서 Java를 비활성화해야한다는 조언을 이끌어 냈습니다. Java 플러그인이 제공하는 많은 기능은 이제 브라우저 자체 (예 : HTML5)에 더 나은 성능과 보안 또는 샌드 박스에서 실행되는 확장 (예 : NaCL )에 포함됩니다. 그렇기 때문에 더 이상 Java 플러그인을 지원하지 않기로 결정했습니다. 위험이 높지만 실제로는 필요하지 않습니다.

오랫동안 웹에서 Flash 또는 Silverlight와 같은 다른 플러그인과 함께 Java에서 멀어졌습니다. HTML5의 목표 중 하나는 플러그인이 필요하지 않은 프레임 워크를 만드는 것입니다 (따라서 <audio>and와 같은 태그 <video>). 지금까지 Java를 지원하는 유일한 이유는 어쨌든 폐기 된 레거시 시스템과의 호환성 때문입니다.

그렇다면 왜 Java와 같은 플러그인이 보안 위협입니까? 역사는 수많은 보안 취약점을 허용하는 꾸준한 보안 취약점이 항상 존재한다는 것을 입증했기 때문입니다. JavaScript와 같이 해석 된 스크립트 언어를 샌드 박스하는 것보다 Java 바이트 코드를 실행하는 VM을 보호하는 것이 본질적으로 어렵습니다. 이 통계를 살펴보십시오 .

말씀 드린대로 플러그인을 최신 상태로 유지하는 것이 좋습니다. 그러나 충분하지 않습니다. 첫째, 많은 사람들이 그렇지 않습니다. 최근 스웨덴의 NSA와 동등한 보안 취약점이있는 오래된 Java 플러그인을 실행하고있는 것으로 밝혀졌습니다. 그들이 제대로 얻을 수 없다면, 일반 가정 사용자가 그렇게 할 것으로 기대하십니까? 둘째, 제로 데이로부터 자신을 보호 할 수있는 방법이 없습니다. 오라클이 얼마나 빠르게 패치를 생성하든 위험에 처할 수 있습니다.

오라클조차도 Java 애플릿의 시대가 끝났다는 것을 인정했습니다. 에서 아르스 테크니카 (2016 월) :

수년 동안 수많은 보안 결함의 원인이 된 많은 악성 Java 브라우저 플러그인은 Oracle에 의해 중단 될 것입니다. 슬퍼하지 않을 것입니다.

2010 년 Sun Microsystems 구매의 일부로 Java를 인수 한 Oracle 은 플러그인이 현재 초기 액세스 베타로 제공되는 Java의 다음 릴리스 9에서 더 이상 사용되지 않을 것이라고 발표 했습니다. 향후 릴리스에서는 완전히 제거 될 것입니다.