Jeg har fundet en ganske interessant artikel, kilden er darkreading.com og forfatteren er Kelly Jackson Higgins. Jeg efterlader oversættelsen af det:
Den mørke side af Java
Metasploit tilføjer nyt modul til de seneste Java-angreb, når Java bliver det nye foretrukne mål for cyberkriminelle
01 dec 2011 | 08:08
Af Kelly Jackson Higgins
Mørk læsning
Det er et dekadent værktøj fra udviklere, men Java det forbliver en primær og stadig ofte glemt tilstedeværelse på computere, der i stigende grad er målet for skurke.
Hvorfor Java som en angrebsvektor?
Dets gennemtrængelighed og det utallige antal forældede versioner, der løber derude på computere, gør Java til den sorte hat, der er valgt for hackere på det seneste. Tallene siger alt: Omkring 80 virksomhedssystemer kører forældede, ikke-patchede versioner af Java ifølge Qualys-data. Og siden tredje kvartal af 2010 har Microsoft registreret eller blokeret ca. 6.9 millioner Java-udnyttelsesforsøg hvert kvartal, i alt 27.5 millioner udnyttelsesforsøg i løbet af den 12-måneders periode.
Samlet set bruger 3 milliarder enheder Java i verden, og 80% af browserne gør det. I mellemtiden deaktiverer eller afinstallerer nogle meget sikkerhedskyndige brugere det helt som en sikkerhedsforanstaltning.
Udviklere af det meget populære open source Matasploit penetrationstestværktøj tilføjede i denne uge et nyt modul til det seneste Java-angreb, der misbruger en for nylig opdateret sårbarhed i Oracles Java-implementering, Rhino. Fejlen i Oracle Java SE JDK og JRE 7 og 6 opdaterer 27 og tidligere versioner, som oprindeligt blev annonceret af forskere her y her og så hurtigt blev frugtbar i et hemmeligt crimeware-sæt, som bloggeren Brian Krebs opdagede i din hjemmeside. Krebs On Security rapporterede, at angrebet også blev kørt inden for BlackHole crimeware-sættet.
«Java er hvor det vil, og ingen opdaterer det ordentligt«Siger HD Moore, skaber og chefarkitekt for Metasploit og CSO hos Rapid7. «Meget få virksomheder opdaterer det på deres computere.»
"Oracle tilbyder en automatisk opdateringsfunktion til Java, men det kræver administrative rettigheder for computerbrugeren at bruge det, noget som de fleste virksomheder ikke tillader"Siger Moore.
Microsofts direktør for Trusted Computing, Tim Rains, påpegede tidligere i denne uge i et indlæg, at lappede fejl i Oracle's Java-software har været under belejring i flere måneder. «Sårbarheder i Oracles Java-software har været under angreb i relativt stor skala i flere måneder, og som jeg nævnte, har sikkerhedsopdateringer til disse sårbarheder været tilgængelige i nogen tid.»Siger Rains. «Hvis du ikke har opdateret Java i dit miljø for nylig, skal du vurdere de aktuelle risici. Blandt andet skal organisationer være opmærksomme på, at de kan have flere versioner af Java kørende.«Siger han.
Oracle's Java-fejl, som blev patchet af Oracle i sidste måned, tillader grundlæggende en Java-applet at køre vilkårlig kode uden for Java-sandkassen. Rapid7s Moore siger, at den såkaldte Java Rhino Exploit (som fungerer på flere platforme, inklusive Windows, iOS og Linux) sker i baggrunden, ubevidst for brugeren, der er ramt af udnyttelsen. Interessant er Linux mere sårbart over for angreb lige nu. «Oracle lappede det, Apple krævede en softwareopgradering. Men det meste af det sælgere Linux-leverandører...har ikke krævet opdateringer"Siger Moore.
Dette bruges typisk som et første trin i et flertrinsangreb, der bruges til at downloade en eksekverbar fil eller ved at installere en bot.
Wolfgang Kandek, CTO i Qualyx, siger, at tenier Metasploit, der understøtter den nyeste udnyttelse, vil medvirke til at øge bevidstheden om faren ved forældede Java-apps. «Fordelene ved at have det på Metasploit er, at de pæne fyre kan demonstrere, hvordan dette [angreb] fungerer", han siger.
Mange af de organisationer, der fandt køre forældede Java-apps på Qualys 'kundedata, var store virksomheder, siger han. «Der er en tendens til ikke at have gode processer til patch af Java. Han flyver under radaren«Siger han.
---- Og her slutter artiklen.
Uden tvivl har dette meget at gøre med det, vi nævnte før ... det vil sige vedrørende Canonical holder op med at tilbyde Java fra Oracle i sine arkiver (Ubuntu, Kubuntu, Xubuntuosv.), selvfølgelig, ja Oracle tillader ikke opdateringer, der er inkluderet, det er det ikke værd, da brugeren ville være for sårbar over for angreb som nævnt ovenfor.
I hvert fald hvad synes du om det? 😉
hilsen
PD: Bare i går læste jeg en tutorial om, hvordan det er muligt at installere Linux på min Nokia N70, jeg har stadig ikke besluttet at gøre det LOL !!!
Jeg har brugt IcedTea (OpenJDK, gratis) i lang tid, og jeg har næsten altid deaktiveret det, fordi jeg næppe bruger det ...
Jeg har lidt, omkring 3 måneder ved hjælp af OpenJDK, jeg vidste ikke nøjagtigt sikkerhedsfejlen i java, jeg ændrede det bare for at se, hvordan libreoffice fungerede 😛
Jeg ved, det er næsten offtopic, men ... Linux på Nokia? Som? Hvis jeg kan tage symbian m___ ud af min 5800, ville jeg være meget glad for det!
Vidste du, at Symbian er Linuxs første fætter? 😀
Alligevel læser jeg stadig ikke nok information om denne Linux på Nokia ... rolig, når jeg finder nogle anstændige oplysninger, giver jeg dig linkene los
KZKG ^ Gaara ... gider ikke med mig, men ... der er nogle fejl i oversættelsen, for eksempel:
1.- «... gør Java til den sorte hatthacker's valg af sent» skulle være «.. for nylig gør de Java til valget af ondsindede hackere»
2.- «Leverandør» betyder på engelsk også «Leverandør» («Leverandør»), så udtrykket «Men de fleste Linux-leverandører ...» forbliver uden problemer «Men de fleste Linux-leverandører ...»
hilsen
Nej for ingenting 😀
Det generer mig virkelig ikke, jeg er ikke en professionel oversætter, meget mindre LOL !!!
Jeg ordner det lige nu 😉
Virkelig mange tak, forståelse af engelsk er ikke svært for mig, hvad der er lidt komplekst for mig er at skrive det og bestille det på spansk 😀
hilsen
🙂
Det samme sker med mig med spansk; Sætninger, der indeholder lokale udtryk, er svære for mig at forstå. Selvom de i det mindste allerede er, undgår nogle stadig mig.
"Black hat hacker" er et udtryk, der bruges til at betegne den ondsindede hacker, og det er bestemt et besvær at oversætte det til spansk.
Hilsner og et stærkt knus
Jeg ved det ikke, men jeg er opmærksom på, at "bevidst" ikke vises i RAE-ordbogen.
Vi har også Linux-leverandører som Tito Mark og hans håndlangere
Lad os se ... min bærbare computer er fremstillet i Kina, men KVALITETskontrollen er HPs B-serie, det vil sige ... komponenterne er fremstillet i Kina (billig arbejdskraft ...) men hvem der beslutter hvilke komponenter der er gode nok er producenten
"Oracle tilbyder en automatisk opdateringsfunktion til Java, men det kræver administrative rettigheder for computerbrugeren at bruge den, noget som de fleste virksomheder ikke tillader"
"Der er en tendens til ikke at have gode processer til patch af Java."
Så problemet er ikke Java, men at brugere ikke har for vane at opdatere det, er det korrekt?
Helt ærligt er problemet med java så sikkerhed, hvis vi sammenligner det med flash java er 20 gange mere sikkert, er problemet, at det er et sprog, der gennemsøger. det er sexet at lære, men det er et mareridt LOL!
Jeg ville sige * ikke så sikker *
Mange gange får vi heller ikke muligheden, Oracle med dets begrænsninger.
For min del bruger jeg OpenJDK og indtil videre ingen klager 🙂
Jeg forsøgte i Debian Squeeze at afinstallere sun-java og gå tilbage til standardindstillingerne, og en ... som jeg til sidst holdt op med.
sandheden er, at java var et godt alternativ for længe siden nu er det bare en masse problemer 🙁
En af afhængighederne i Mexico er SAT og IMSS, som sørger for at du skal bruge meget gamle versioner i mere end 3 år, for hvis du ikke kan komme ind i deres portaler.
Jeg arbejder hovedsageligt med administrative brugere, og de opdaterer aldrig noget, og de bruger java til mange offentlige programmer, og som nødvendigvis kræver visse versioner, der inkluderer store sårbarheder, dette er også et emne, som institutioner som IMSS og SAT i Mexico bør tage mere alvorligt og opbevar dine applikationer og distribuer ikke længere software oprettet i 2004 eller tidligere med sådanne problemer
Nå, jeg har brugt sun-java i nogen tid, og sandheden er, at jeg ikke har nogen klager over at få de resultater, jeg altid har ønsket, og endda gå lidt ud over det konventionelle. Openjdk til udvikling er ikke noget, jeg vil anbefale nogen, selvom jeg formoder, at det er mine kriterier. Skål