web-dev-qa-db-ja.com

ChromeでJavaプラグイン(JRE)が無効になっているのはなぜですか。

ChromeでJavaプラグイン(JRE)が無効になっているのはなぜですか。セキュリティ上の問題はありますか?

Javaの公式Webサイトから:

ChromeはNPAPI(Javaアプレットに必要なテクノロジ)をサポートしなくなりました。Webブラウザ用のJavaプラグインは、クロスプラットフォームプラグインアーキテクチャNPAPIに依存しています。 GoogleのChromeバージョン45(2015年9月にリリース予定)は、NPAPIのサポートを終了し、Silverlight、Java、Facebook Video、およびその他の同様のNPAPIベースのプラグインのプラグインに影響を与えます。

しかし、誰もがその理由を知っていますか?最新バージョンのJava JREがインストールされているChromeユーザーにとって、どうして危険なのでしょうか。

google-chromejava
40
Michał Kuliński

ChromeでJavaが無効になっているのはなぜですか。セキュリティ上の問題はありますか?

Chromiumブログによると、NPAPI、ひいてはJavaを無効にする理由は、次のとおりです。

  • 強化されたセキュリティ
  • スピードアップ
  • 安定性の向上
  • コードの複雑さを軽減
  • クラッシュの減少
  • ハングの減少
  • モバイルデバイスのサポート不足

注意:

  • FirefoxもNPAPIのサポートを終了しています - Firefoxでの NPAPIプラグインを参照してください

    プラグインは、Webユーザーにとってパフォーマンス上の問題、クラッシュ、およびセキュリティ問題の原因となります。

    Mozillaは2016年末までにFirefoxのほとんどのNPAPIプラグインのサポートを削除する予定です。

最新バージョンのJava JREがインストールされているChromeユーザーにとって、どうして危険なのでしょうか。

短い答え:ゼロデイエクスプロイト。

もう1つの脆弱性の原因は、Javaがユーザーの介入や管理者権限を必要としない自動アップデータをリリースしていないことです。たとえば、Google ChromeとFlash Playerがあります。この機能により、ユーザーはアクションをとるように促されることなく自動更新を取得でき、更新が容易になります。

自動更新システムがないため、多くのユーザーはJavaの更新を無視し、それらをインストールすることさえ恐れています。これは、過去にJavaの更新を感染の媒介として使用したマルウェアまたは同様の経験によるものです。

これらすべての脆弱性が、サイバー犯罪者が繁栄しているものであることを知ってください。

...

私たち自身のデータベースから抽出されたデータは、JavaがAdobeのFlashプラグインに次いで、継続的なパッチ適用を必要とする2番目に大きいセキュリティ脆弱性であることを確認します。

2015年だけで、私たちはすでにクライアント用に105925のJava Runtime Environment用パッチを配布しています。

enter image description here

詳細な説明と解説については、この記事の残りの部分を読んでください。

出典 なぜJavaの脆弱性があなたのコンピュータの最大のセキュリティホールのひとつなのですか?

NPAPIの最終的なカウントダウン

昨年9月、ChromeからNPAPIサポートを削除する計画を発表しました。これにより、Chromeのセキュリティ、スピード、安定性が向上し、コードベースの複雑さが軽減されます。

出典 NPAPIの最終カウントダウン

私たちの旧友にさよならを言うNPAPI

NPAPIの90年代のアーキテクチャは、ハング、クラッシュ、セキュリティ問題、およびコードの複雑さの主な原因となっています。このため、Chromeは来年中にNPAPIサポートを段階的に廃止する予定です。 Webはこの移行の準備ができていると感じています。 NPAPIはモバイルデバイスではサポートされていません。Mozillaは現在のバージョンのFlashを除くすべてのプラグインをデフォルトでクリックして再生することを計画しています。

出典 私たちの旧友にさよならを言うNPAPI

61
DavidPostill

Googleによって説明されているように 、NetscapeプラグインAPI(NPAPI)はWebブラウザの初期の時代に機能を拡張するために必要でした。残念ながら、それは基礎となるマシンへのアクセスを提供しました。したがって、プラグインに脆弱性が含まれており、攻撃者がそれを悪用した場合、攻撃者はブラウザのサンドボックス化を迂回してマシンにアクセスすることができました。

このような攻撃方法は、過去にマシンの感染によく使用されてきたため、ブラウザでJavaを無効にする必要があるとのアドバイスにつながりました。 Javaプラグインによって提供される多くの機能は、ブラウザ自体に含まれるようになりました(例:HTML5)。より優れたパフォーマンスとセキュリティ、またはサンドボックス内で実行される拡張機能(例: NaCL )そのため、Javaプラグインをサポートしなくなるという決定が下されました。それは、高リスクだがそれを実際に必要としていないためです。

4
Ronny

FlashやSilverlightのような他のプラグインと一緒に、長い間Web上でJavaから離れています。 HTML5の目標の1つは、プラグインが不要なフレームワーク(したがって<audio><video>のようなタグ)を作成することでした。今のところ、Javaをサポートする唯一の理由は、とにかく今では廃止されるはずだったレガシーシステムとの互換性のためです。

では、なぜJavaのようなプラグインがセキュリティ上の脅威になるのでしょうか。歴史が証明してきたため、常に多数の悪用を可能にするセキュリティホールが絶えず存在することになるでしょう。 JavaScriptのようなインタプリタのスクリプト言語をサンドボックス化するよりも、本質的にVMを実行するJavaバイトコードを保護するのは難しいです。 これらの統計情報 を見てください。

あなたが言うように、それはあなたのプラグインを最新の状態に保つのは良い習慣です。しかしそれだけでは不十分です。まず、多くの人がそうではありません。最近、スウェーデンの同等のNSAでさえ、既知のセキュリティの脆弱性を持つ古いJavaプラグインを実行していることが明らかになりました。彼らがそれを正しくできないならば、あなたは平均的なホームユーザーがそうすることを期待しますか?次に、ゼロデイから身を守る方法はありません。 Oracleがパッチをどれだけ速く作成しても、危険にさらされます。

Oracleでも、Javaアプレットの時代は終わったと認識しています。 From Ars Technica (2016年1月):

長年にわたり非常に多くのセキュリティ上の欠陥の原因となっていた、非常に悪意のあるJavaブラウザプラグインは、Oracleによって殺されることになっています。哀悼の意を表します。

2010年のSun Microsystems買収の一環としてJavaを買収したOracleは、 announce を持っている。早期アクセスベータ版として入手可能。将来のリリースではそれは完全に削除されるでしょう。

2
Anders