Našel jsem docela zajímavý článek, zdroj je darkreading.com a autorem je Kelly Jackson Higgins. Nechám jeho překlad:
Temná stránka Javy
Metasploit přidává nový modul pro nejnovější útoky Java, když se Java stane novým oblíbeným cílem kyberzločinců
01 | 2011:08
Kelly Jackson Higgins
Tmavé čtení
Je to dekadentní nástroj ze strany vývojářů, ale Jáva zůstává primární a stále často zapomenutou přítomností počítače, na kterou se stále více zaměřují darebáci.
Proč Java jako útočný vektor?
Díky jeho pronikavosti a nadměrnému počtu zastaralých verzí běžících na počítačích je Java v poslední době černým kloboukem pro hackery. Čísla říkají všechno: Asi 80 podnikových systémů provozuje zastaralé, neopravené verze Javy, podle údajů Qualys. A od třetího čtvrtletí roku 2010 společnost Microsoft detekovala nebo blokovala přibližně 6.9 milionu pokusů o zneužití Javy každé čtvrtletí, přičemž během tohoto 27.5měsíčního období došlo k celkem 12 milionu pokusů o zneužití.
Celkově 3 miliardy zařízení používají Javu na světě a 80% prohlížečů ji používá. Někteří velmi důvtipní uživatelé jej zatím preventivně úplně deaktivují nebo odinstalují.
Vývojáři široce populárního open source testovacího nástroje Matasploit pro testování tohoto týdne přidali nový modul pro nejnovější útok Java, který zneužívá nedávno opravenou zranitelnost v implementaci Oracle Java, Rhino. Chyba v Oracle Java SE JDK a JRE 7 a 6 aktualizuje 27 a dřívější verze, kterou původně oznámili vědci zde y zde a pak se rychle dočkala uskutečnění v podzemní soupravě zločinců, jak objevil blogger Brian Krebs váš web. Společnost Krebs On Security uvedla, že útok byl také veden v rámci zločinecké sady BlackHole.
«Java je kdekoli chce a nikdo ji správně neaktualizuje«Říká HD Moore, tvůrce a hlavní architekt pro Metasploit a CSO ve společnosti Rapid7. «Velmi málo společností to aktualizuje na svých počítačích.»
"Oracle nabízí funkci automatické aktualizace pro Javu, ale vyžaduje, aby ji uživatelé počítače mohli používat, což většina společností nepovoluje."„Říká Moore.
Ředitel společnosti Trusted Computing společnosti Microsoft Tim Rains na začátku tohoto týdne poukázal na příspěvek, že opravené chyby v softwaru Java společnosti Oracle jsou obléhány měsíce. «Zranitelnosti softwaru Java společnosti Oracle jsou již několik měsíců napadeny v relativně velkém měřítku a jak jsem již zmínil, aktualizace zabezpečení pro tyto chyby zabezpečení jsou již nějakou dobu k dispozici.»Říká déšť. «Pokud jste ve svém prostředí nedávno neaktualizovali prostředí Java, měli byste posoudit přítomná rizika. Organizace si musí mimo jiné uvědomit, že mohou mít spuštěnou více verzí prostředí Java.", On říká.
Chyba Java společnosti Oracle, kterou společnost Oracle opravila minulý měsíc, v zásadě umožňuje appletu Java spouštět libovolný kód mimo karanténu Java. Moore společnosti Rapid7 říká, že takzvaný Java Rhino Exploit (který funguje na více platformách, včetně Windows, iOS a Linux) se vyskytuje na pozadí, v bezvědomí uživatele zasaženého exploitem. Zajímavé je, že Linux je nyní zranitelnější vůči útokům. «Společnost Oracle to opravila, Apple požadoval aktualizaci softwaru. Ale většina z prodejců Poskytovatelé Linuxu ?? nevyžadují aktualizace„Říká Moore.
Obvykle se používá jako první fáze vícestupňového útoku, slouží ke stažení spustitelného souboru nebo instalaci robota.
Wolfgang Kandek, CTO společnosti Qualyx, říká, že tenier Metasploit podporující nejnovější exploit by pomohl zvýšit povědomí o nebezpečí zastaralých aplikací Java. «Výhodou toho, že jej máte na Metasploitu, je, že milí kluci mohou předvést, jak tento [útok] funguje", on říká.
Mnoho organizací zjistilo, že provozování zastaralých aplikací Java na zákaznických datech Qualys byly velké společnosti, říká. «Existuje tendence nemít dobré procesy pro opravu Javy. Letí pod radarem", On říká.
---- A tady článek končí.
Nepochybně to má hodně co do činění s tím, co jsme zmínili dříve ... tedy s tím, co Canonical přestane ve svých úložištích nabízet Javu od Oracle (ubuntu, Kubuntu, Xubuntuatd.), samozřejmě, ano Věštec neumožňuje zahrnout aktualizace, nestojí to za to, protože uživatel by byl příliš zranitelný vůči útokům, jako jsou výše uvedené.
Co si o tom myslíš? 😉
pozdravy
PD: Právě včera jsem četl výukový program o tom, jak je možné nainstalovat Linux na můj Nokia N70, stále jsem se nerozhodl udělat LOL !!!
Používám IcedTea (OpenJDK, zdarma) po dlouhou dobu a téměř vždy ji mám deaktivovanou, protože ji sotva používám ...
Mám málo, asi 3 měsíce používám OpenJDK, nevěděl jsem přesně bezpečnostní chybu v Javě, změnil jsem to jen proto, abych viděl, jak libreoffice funguje 😛
Vím, že je to téměř offtopic, ale ... Linux pro Nokia? Tak jako? Pokud mohu z mého 5800 vytáhnout symbian m___, byl bych potěšen!
Věděli jste, že Symbian je prvním bratrancem Linuxu? 😀
Každopádně stále nečtu dost informací o Linuxu na Nokii ... nebojte se, až najdu nějaké slušné informace, dám vám odkazy 😉
KZKG ^ Gaara ... neobtěžujte se mnou, ale ... v překladu jsou nějaké chyby, například:
1. - „…… dělají z Javy zpožděnou volbu hackerů v černém klobouku» by měly být «.. v poslední době dělají z Javy volbu škodlivých hackerů»
2.- „Vendor“ v angličtině také znamená „dodavatel“ („dodavatel“), takže fráze „Ale většina dodavatelů Linuxu ...“ zůstává bez problémů „Ale většina dodavatelů Linuxu ...“
pozdravy
Ne za nic 😀
Opravdu mi to nevadí, nejsem profesionální překladatel, natož LOL !!!
Opravuji to hned teď 😉
Opravdu děkuji, porozumění angličtině pro mě není těžké, pro mě je trochu složité psát a objednávat ve španělštině 😀
pozdravy
????
Totéž se mi stalo se španělštinou; Fráze obsahující místní výrazy se mi těžko rozumí. I když už jsou alespoň někteří mi stále unikají.
„Black hat hacker“ je výraz používaný k označení škodlivého hackera a jeho překlad do španělštiny je určitě rozruch.
Zdravím a silné objetí
Nevím, ale vím, že slovo „při vědomí“ se ve slovníku RAE neobjevuje.
Máme také dodavatele Linuxu, jako je Tito Mark a jeho stoupenci
Uvidíme ... můj notebook je vyroben v Číně, ale ovládací prvek KVALITA je řada B společnosti HP, to znamená ... komponenty jsou vyráběny v Číně (levná pracovní síla ...), ale kdo rozhodne, které komponenty jsou dost dobré, je výrobce 😉
„Oracle nabízí funkci automatické aktualizace pro Javu, ale vyžaduje, aby ji uživatelé počítače mohli používat, což většina společností nepovoluje.“
„Existuje trend, že neexistují dobré procesy pro opravu Javy.“
Problém tedy není v Javě, ale v tom, že uživatelé nemají ve zvyku ji aktualizovat, že?
Upřímně řečeno, problém s Java je tak bezpečný, když to porovnáme s Flash Java, je to 20krát bezpečnější, problém je, že jde o jazyk, který se plazí. Je sexy učit se, ale je to noční můra LOL!
Chtěl jsem říct * ne tak bezpečnost *
Mnohokrát nemáme ani možnost, Oracle s jeho omezeními.
Z mé strany používám OpenJDK a zatím žádné stížnosti 🙂
Pokusil jsem se v Debianu Squeeze odinstalovat sluneční javu a vrátit se k výchozím a… a nakonec jsem skončil.
pravdou je, že java byla dávno dobrou alternativou, nyní je to jen spousta problémů 🙁
Jednou ze závislostí v Mexiku je SAT a IMSS, což zajišťuje, že budete muset používat velmi staré verze delší než 3 roky, protože pokud nemůžete vstoupit na jejich portály.
Pracuji většinou s administrativními uživateli, kteří nikdy nic neaktualizují a používají javu pro mnoho vládních programů a které nutně vyžadují určité verze, které obsahují velké chyby zabezpečení, toto je také téma, které by instituce jako IMSS a SAT v Mexiku měly brát vážněji a uchovejte své aplikace a již s takovými problémy nebudete šířit software vytvořený v roce 2004 nebo dříve
No, používám sun-java už nějakou dobu a pravdou je, že nemám žádné stížnosti na získání výsledků, které jsem vždycky chtěl, a dokonce i trochu nad rámec konvenčních. Openjdk pro vývoj není něco, co bych komukoli doporučil, i když předpokládám, že to jsou moje kritéria. Na zdraví