Ek het nogal 'n interessante artikel gevind, die bron is darkreading.com en die skrywer is Kelly Jackson Higgins. Ek laat die vertaling daarvan agter:
Die donker kant van Java
Metasploit voeg 'n nuwe module by vir die nuutste Java-aanvalle wanneer Java die nuwe gunsteling teiken van kubermisdadigers word
01 Des 2011 | 08:08 nm
Deur Kelly Jackson Higgins
Donker lees
Dit is 'n dekadente hulpmiddel van ontwikkelaars, maar Java dit bly 'n primêre en steeds gereeld vergete rekenaar teenwoordigheid wat toenemend deur skurke geteiken word.
Waarom Java as aanvalsvektor?
Die deurdringbaarheid en die buitensporige aantal verouderde weergawes wat op rekenaars uitloop, maak Java die afgelope tyd die swart hoed vir hackers. Die getalle sê alles: Sowat 80 ondernemingstelsels bevat verouderde weergawes van Java volgens Qualys-data. En sedert die derde kwartaal van 2010 het Microsoft ongeveer 6.9 miljoen pogings tot Java-uitbuiting elke kwartaal opgespoor of geblokkeer, met 'n totaal van 27.5 miljoen pogings tot uitbuiting gedurende die periode van 12 maande.
Oor die algemeen gebruik 3 miljard toestelle Java in die wêreld, en 80% van die blaaiers doen dit. Intussen skakel sommige gebruikers wat dit baie sekuriteit betref, dit uit veiligheidshalwe uit of verwyder.
Ontwikkelaars van die wyd gewilde open source Matasploit-penetrasie-toetsinstrument het vandeesweek 'n nuwe module bygevoeg vir die nuutste Java-aanval wat die kwesbaarheid van Oracle se Java-implementering, Rhino, misbruik. Die fout in Oracle Java SE JDK en JRE 7 en 6 werk 27 en vroeër weergawes aan, wat aanvanklik deur navorsers aangekondig is hier y hier en dan vinnig tot stand gekom in 'n ondergrondse crimeware kit, soos die blogger Brian Krebs in ontdek het u webwerf. Krebs On Security het berig dat die aanval ook binne die BlackHole-pakware uitgevoer is.
«Java is waar dit wil, en niemand werk dit behoorlik op nie«Sê HD Moore, skepper en hoofargitek van Metasploit en CSO by Rapid7. «Baie min maatskappye werk dit op hul rekenaars op.»
'Oracle bied wel 'n outomatiese opdateringsfunksie vir Java, maar dit vereis administratiewe voorregte vir die rekenaargebruiker om dit te gebruik, iets wat die meeste maatskappye nie toelaat nie."Sê Moore.
Microsoft se direkteur van Trusted Computing, Tim Rains, het vroeër vandeesweek in 'n berig daarop gewys dat foute in Oracle se Java-sagteware al maande lank onder beleg is. «Kwetsbaarhede in Oracle se Java-sagteware word nou al 'n paar maande op betreklik groot skaal aangeval, en soos ek genoem het, is daar al 'n geruime tyd veiligheidsopdaterings vir hierdie kwesbaarhede beskikbaar.»Sê Reën. «As u Java nie onlangs in u omgewing opgedateer het nie, moet u die risiko's wat daar is, beoordeel. Organisasies moet onder meer daarvan bewus wees dat hulle verskeie weergawes van Java kan laat loop.", Hy sê.
Oracle se Java-fout, wat verlede maand deur Oracle aangepas is, laat 'n Java-applet basies toe om willekeurige kode buite die Java-sandbox uit te voer. Rapid7's Moore sê dat die sogenaamde Java Rhino Exploit (wat op verskeie platforms werk, insluitend Windows, iOS en Linux) op die agtergrond voorkom, bewusteloos vir die gebruiker wat deur die uitbuiting getref word. Interessant genoeg is Linux nou kwesbaarder vir aanvalle. «Oracle het dit gelap, Apple het 'n sagteware-opdatering geëis. Maar die meeste van die verkopers Linux-verskaffers ... het nie opdaterings nodig nie"Sê Moore.
Dit word gewoonlik gebruik as 'n eerste fase in 'n aanval in meer fases, gebruik om 'n uitvoerbare lêer af te laai of deur 'n bot te installeer.
Wolfgang Kandek, CTO van Qualyx, sê die tenier Metasploit wat die nuutste uitbuiting ondersteun, sal help om die bewustheid te verhoog oor die gevaar van verouderde Java-programme. «Die voordele daarvan om dit op Metasploit te hê, is dat die gawe ouens kan demonstreer hoe hierdie [aanval] werk", hy sê.
Baie van die organisasies het bevind dat ou Java-programme op Qualys se kliëntedata uitgevoer is, was groot maatskappye, sê hy. «Daar is 'n neiging om nie goeie prosesse te hê om Java te lap nie. Hy vlieg onder die radar in", Hy sê.
---- En hier eindig die artikel.
Dit het ongetwyfeld baie te make met wat ons voorheen genoem het ... dit wil sê oor wat Canonical sal ophou om Java vanaf Oracle in sy bewaarplekke aan te bied (Ubuntu, Kubuntu, Xubuntu, ens.), natuurlik, ja Oracle laat nie toe dat opdaterings ingesluit word nie, dit is nie die moeite werd nie, aangesien die gebruiker te kwesbaar sou wees vir aanvalle soos hierbo genoem.
In elk geval, wat dink u daaroor? 😉
Groete
PD: Net gister lees ek 'n handleiding oor hoe dit moontlik is om Linux op my Nokia N70 te installeer, ek het nog steeds nie besluit om dit te doen nie LOL !!!
18 kommentaar, los joune
Ek gebruik IcedTea (OpenJDK, gratis) al lank en ek het dit amper altyd uitgeskakel omdat ek dit skaars gebruik ...
Ek het min, ongeveer 3 maande, gebruik OpenJDK, ek het nie die veiligheidsfout in Java presies geweet nie, ek het dit verander net om te sien hoe libreoffice werk 😛
Ek weet dit is amper offtopic maar ... Linux op Nokia? Soos? As ek die symbian m___ uit my 5800 kan haal, sal ek verheug wees!
Het u geweet dat Symbian Linux se eerste neef is? 😀
In elk geval, ek lees nog steeds nie genoeg inligting oor hierdie Linux op Nokia nie ... moenie bekommerd wees nie, as ek ordentlike inligting vind, gee ek u die skakels 😉
KZKG ^ Gaara ... moet my nie lastig val nie, maar ... daar is 'n paar foute in die vertaling, byvoorbeeld:
1 .- «… maak Java die swart hoed se keuse vir die laat» moet wees ... .. die afgelope tyd maak hulle Java die keuse van kwaadwillige hackers »
2.- "Verkoper" in Engels beteken ook "Verskaffer" ("Verskaffer"), dus die frase "Maar die meeste Linux-verskaffers ..." bly sonder enige probleem "Maar die meeste Linux-verskaffers ..."
Groete
Niks verniet 😀
Dit pla my regtig nie, ek is nie 'n professionele vertaler nie, nog minder LOL !!!
Ek maak dit nou reg 😉
Regtig, baie dankie, om Engels te verstaan is nie vir my moeilik nie. Wat vir my 'n bietjie kompleks is, is om dit te skryf en in Spaans te bestel 😀
Groete
🙂
Dieselfde gebeur met Spaans; Dit is moeilik vir my om frases te bevat wat plaaslike uitdrukkings bevat. Alhoewel hulle ten minste sommige is, ontsnap dit my nog steeds.
'Black hat hacker' is 'n uitdrukking wat gebruik word om die kwaadwillige hacker aan te dui, en dit is beslis 'n ophef om dit in Spaans te vertaal.
Groete en 'n sterk drukkie
Ek weet nie, maar ek is bewus daarvan dat 'bewus' nie in die RAE-woordeboek voorkom nie.
Ons het ook Linux-verskaffers soos Tito Mark en sy trawante
Kom ons kyk ... my skootrekenaar is in China, maar die KWALITEIT-beheer is die HP-reeks van B, dit wil sê ... die komponente word in China vervaardig (goedkoop arbeid ...) maar wie besluit watter komponente goed genoeg is, is die vervaardiger 😉
"Oracle bied wel 'n outomatiese opdateringsfunksie vir Java, maar dit vereis administratiewe regte vir die rekenaargebruiker om dit te gebruik, iets wat die meeste ondernemings nie toelaat nie"
"Daar is 'n neiging om nie goeie prosesse te hê om Java te lap nie."
Die probleem is dus nie Java nie, maar dat gebruikers nie die gewoonte het om dit op te dateer nie, of hoe?
Eerlikwaar is die probleem met Java so sekuriteit, as ons dit vergelyk met flash, is Java 20 keer veiliger, dan is die probleem dat dit 'n taal is wat deurkruip. dit is sexy om te leer, maar dit is 'n nagmerrie LOL!
Ek wou sê * nie so sekuriteit nie *
Ons kry baie keer ook nie die moontlikheid nie, Oracle met sy beperkings.
Van my kant gebruik ek OpenJDK, en tot dusver geen klagtes nie 🙂
Ek het in Debian Squeeze probeer om die sun-java te verwyder en terug te gaan na die standaard een, en 'n ... dat ek uiteindelik opgehou het.
die waarheid is dat Java lankal 'n goeie alternatief was, dit is nou net baie probleme 🙁
Een van die afhanklikhede in Mexiko is SAT en IMSS, wat sorg dat u baie ou weergawes van langer as 3 jaar moet gebruik, want as u nie hul portale kan betree nie.
Ek werk meestal met administratiewe gebruikers en hulle werk nooit iets op nie, en hulle gebruik Java vir baie regeringsprogramme en wat noodwendig sekere weergawes benodig wat groot kwesbaarhede insluit. Dit is ook 'n onderwerp wat instellings soos die IMSS en die SAT in Mexiko ernstiger moet opneem en behou u toepassings en versprei nie meer sagteware wat in 2004 of vroeër met sulke probleme geskep is nie
Wel, ek gebruik sun-java al 'n geruime tyd en die waarheid is dat ek geen klagtes het om die resultate te kry wat ek nog altyd wou gehad het nie en selfs 'n bietjie verder gaan as die konvensionele. Openjdk vir ontwikkeling is nie iets wat ek vir iemand sal aanbeveel nie, hoewel ek dink dit is my maatstaf. Cheers