Windows、Mac、LinuxでJavaのセキュリティリスクが軽減された理由

Windows、Mac、LinuxでJavaのセキュリティリスクが軽減された理由

かつてWebの重要なコンポーネントであったJavaは、過去数年間で人気が低下しました。最近のほとんどのブラウザはデフォルトでJavaをブロックしており、ホームユーザーの大多数はJavaをインストールする必要がありません。





Javaは、デスクトップコンピュータ、特にWindowsにとって最も安全性の低いソフトウェアであると長い間聞いてきました。しかし、これはまだ本当ですか?掘り下げて調べてみましょう。



Javaの歴史的な問題

Javaが攻撃の標的として人気を博している主な理由は、Javaがどれほど普及しているかにあります。 Javaは最大限の互換性を実現するように設計されているため、多数のデバイスで実行されます。コンピュータに加えて、JavaはBlu-rayプレーヤー、プリンター、駐車場支払いシステム、宝くじ装置などに電力を供給します。これは、隠すことによるセキュリティの反対です。主要なプラットフォームは、攻撃に対して最高の見返りを提供します。





もちろん、私たちはデスクトップ上のJavaに関心があります。そして、最悪の問題は、Javaが自動的に更新されないことです。他のほとんどの最新のプログラムとは異なり、Javaは、利用可能な場合に更新をインストールするようにユーザーに要求するだけです。さらに悪いことに、デフォルトでは、Javaは更新を週に1回、または月に1回しかチェックしません。これは、セキュリティの脆弱性が非常に多いアプリにとっては危険です。

クロムでタブをグループ化する方法

多くの人が更新プロンプトを見て無視するため、古いバージョンのJavaが実行されます。また、定期的に提供される新しいバージョンでは、一部の更新をインストールした人でさえ、イライラしてそれ以上の更新を無視する可能性があります。場合によっては、ユーザーが新しいバージョンをインストールしても、Javaの古いコピーもインストールされたままになります。これにより、攻撃に対する脆弱性が広がります。



もちろん、Javaの長年の物語を忘れることはできません。 ひどい質問ツールバー 。 Javaをインストールまたは更新するたびに、チェックボックスをオフにすることを忘れないでください。そうしないと、そのジャンクが含まれます。エクスプロイトではありませんが、これはユーザーの口に悪い味を残しました。

現代のJava

これが過去のJavaの問題点ですが、最近はどうでしょうか。



2017年10月、Veracodeは、Javaアプリケーションの88%に少なくとも1つの脆弱なコンポーネントが含まれていることを[もう利用できません]と発見しました。 2016年の初めに、オラクルは次のように発表しました。 Javaインストーラーでさえ脆弱でした 。攻撃者が特定の名前のDLLファイルをダウンロードフォルダに配置すると、Javaインストーラを実行したときに感染が引き起こされます。そして一般的に、Javaの人気のために、あなたはただする必要があるでしょう 侵害されたWebサイトにアクセスする これは、Javaの古いコピーを利用して感染しました。

これはJavaが安全とはほど遠いことを意味しますが、良いニュースもあります。 2016年の初めに、 オラクルが発表 現在利用可能なJDK9のJavaブラウザプラグイン(ほとんどの問題の原因です)を非推奨にする予定です。最近のブラウザもJavaを置き去りにしています。 ChromeはJavaのサポートを終了しました 2015年後半、および Firefoxはそれをサポートしなくなりました 2017年初頭。Windows10に含まれているMicrosoftのEdgeブラウザ。 Javaをまったくサポートしていません



つまり、ブラウザでJavaを本当に使用する必要がある場合は、InternetExplorerを使い続ける必要があります。

最大の脆弱性

Javaの人気が低下しているので、最も安全性の低いデスクトップソフトウェアとして何がその地位を占めているのでしょうか。

Flexeraの最新データ 、2017年第1四半期から、平均的なPCのプログラムの7.8%が寿命に達していることが明らかになりました。市場シェアにパッチが適用されていないユーザーの割合を掛けたものに基づいて、最も公開されているプログラムのトップ10にランク付けされます。

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle for PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud for Windows 6.x

このリストはあなたを驚かせるかもしれません。 Javaは最もリスクの高いプログラムではありませんが、それでも2番目のプログラムです。 VLCやMalwarebytesなど、通常はセキュリティリスクに関連付けられていない他のプログラムも同様です。これは、人気のあるソフトウェアだけでなく、すべてのソフトウェアを最新の状態に保つことの重要性を示しています。

調べることでもっと見ることができます アバストの2017年第3四半期のセキュリティレポート 。ユーザーのPCで最も古くなったプログラムのトップ10を一覧表示します。

  1. Java 6、7、および8
  2. Adobe AIR
  3. Adobe Shockwave
  4. VLCメディアプレーヤー
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. クイックタイム
  10. アドビフラッシュプレーヤー

古いバージョンを含めると、Javaは依然として最も更新の少ないソフトウェアを上回っているようです。 Adobeのプラグインも大きな原因であり、iTunesとVLCもこのリストを作成したことがわかります。

逆に、 TechRadarによると 、Chromeは更新されたアプリのトップになります。調査したところ、Chromeを実行しているユーザーの88%が最新バージョンをインストールしていました。これは、JavaおよびAdobeランタイムで使用されるしつこい更新プロンプトと比較して、サイレント自動更新がどのように大きな違いを生むかを示しています。

OSのアップデートも忘れないでください

覚えておくべきアップデートのもう1つの重要なコンポーネントは、OSアップデートです。自動更新がインストールされたユーザーは、2017年半ばにひどいランサムウェア攻撃から免れたことを忘れないでください。 Javaのようなソフトウェアを最新の状態に保っていても、Windows Updateをインストールしないと、コンピューターは危険にさらされます。

Windows 10ではこれらの自動更新が簡単になりますが、Windows7では無効になっている可能性があります。また、Windows XPの寿命が終わってから4年近く経った今でも、WindowsXPを使用している人々は大きなリスクにさらされています。

Javaは本当に危険ですか?

まとめると、Javaがデスクトップの最大のセキュリティリスクであると言えますか?あまり。マイナス面として、人々はJavaを本当に必要としないにもかかわらず、古いバージョンのJavaを実行し続けています。これにより、セキュリティの脆弱性が発生する可能性があります。ただし、ほとんどのブラウザはJavaをサポートしなくなったため、以前のように攻撃を受け入れることはできません。

コンピュータのセキュリティの弱点は、更新を続けていない最も人気のあるソフトウェアに由来します 。最新バージョンのJavaを使用しているが、まだ使用していない場合 サポートされていないQuickTimeforWindowsをアンインストールしました 、それは大きなリスクです。古いバージョンのFlash、Adobe Reader、またはiTunesを使用すると、攻撃を受ける可能性もあります。

上記のデータから、自動更新のないプログラムは通常、最も安全性が低いことがわかります。たとえば、iTunesは常にユーザーに更新を要求しますが、これは煩わしいことです。これにより、人々は更新を無視し、安全でないバージョンをインストールしたままにすることになります。

MacとLinuxはどうですか?

上記ではJavafor Windowsに焦点を当ててきましたが、これがMacおよびLinuxユーザーにもどのように影響するかについて簡単に説明する価値があります。

驚いたことに、AppleはSafariでプラグインをデフォルトで実行することを許可していませんが、ブラウザはJavaやSilverlightなどの古いプラグインを引き続きサポートしています。特別な理由がない限り、MacでJavaをアンインストールする必要がありますが、JavaはMacユーザーにとってWindowsほど多くの問題を引き起こしていません。最近、macOSのほとんどのセキュリティホールは、Apple自体からの見落としのおかげです。

Linuxでも、Javaに固有の脆弱性は見られませんでした。 LinuxでJavaをサポートするブラウザが必要な場合は、 FirefoxのESR(拡張サポートリリース)バージョン 。 Firefoxは、ビジネス環境向けにこのバージョンを提供しています。最新のセキュリティアップデートを提供しますが、機能アップデートの展開を待つ時間が長くなります。現在のバージョン52は、Javaをサポートしており、その他のレガシープラグインは2018年第2四半期のいつかまで利用可能になります。

プラグインのない未来

幸いなことに、これらの潜在的に危険で迷惑なプラグインのほとんどをインストールする必要はもうありません。 Javaを使用しているWebサイトはほとんどなく、人々がJavaをインストールしたままにしていた主要なプログラム--- Minecraft --- 今すぐJavaの安全なバンドルバージョンが含まれています 。他のプラグインも必要ありません。 Microsoftは数年前にSilverlightを非推奨にしましたが、Shockwaveコンテンツを含むサイトを見つけるのは難しいでしょう。

フラッシュは唯一の例外です。ほとんどのブラウザはその人気のためにまだそれをサポートしていますが、 アドビは2020年にそれを殺します 。それまでは、PCのFlashを更新するように注意してください。 Chromeは自動的にそうするので、もうインストールしていないかもしれません(これは素晴らしいことです)。

つまり、Javaはまだ安全ではありませんが、ブラウザがJavaを無効にしているため、リスクは少なくなります。不要なプログラム(古いプラグインを含む)をアンインストールし、コンピューター上のソフトウェアを最新の状態に保ち、OSの更新を適用する必要があります。これを行うと、裕福になります。

画像クレジット:avemario /

共有 共有 つぶやき Eメール Windows10デスクトップのルックアンドフィールを変更する方法

Windows 10の見栄えを良くする方法を知りたいですか?これらの簡単なカスタマイズを使用して、Windows10を独自のものにします。

次を読む 関連トピック
  • 安全
  • Java
  • コンピュータセキュリティ
著者について ベン・ステグナー(1735件の記事が公開されました)

ベンは、MakeUseOfの副編集長およびオンボーディングマネージャーです。彼は2016年にフルタイムで執筆するためにITの仕事を辞め、振り返ることはありませんでした。彼は7年以上にわたり、プロのライターとして技術チュートリアルやビデオゲームの推奨事項などを扱ってきました。

ベンステグナーのその他の作品

ニュースレターを購読する

ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。

購読するにはここをクリックしてください