Ich habe einen recht interessanten Artikel gefunden, die Quelle ist darkreading.com und der Autor ist Kelly Jackson Higgins. Ich überlasse Ihnen die Übersetzung davon:
Die dunkle Seite von Java
Metasploit fügt neues Modul für die neuesten Java-Angriffe hinzu, da Java zum neuen Lieblingsziel von Cyberkriminellen wird
01. Dezember 2011 | 08:08 Uhr
Von Kelly Jackson Higgins
Dunkles Lesen
Es ist ein dekadentes Tool der Entwickler, aber Javac bleibt eine wichtige und immer noch häufig vergessene Präsenz auf Computern, die zunehmend ins Visier von Bösewichten gerät.
Warum Java als Angriffsvektor?
Seine Durchdringbarkeit und die übermäßige Anzahl veralteter Versionen, die auf Computern laufen, machen Java heutzutage zum Black Hat der Wahl für Hacker. Die Zahlen sagen alles: Nach Angaben von Qualys laufen auf etwa 80 Unternehmenssystemen veraltete, ungepatchte Java-Versionen. Und seit dem dritten Quartal 2010 hat Microsoft jedes Quartal etwa 6.9 Millionen Java-Exploit-Versuche erkannt oder blockiert, was insgesamt 27.5 Millionen Exploit-Versuchen in diesem 12-Monats-Zeitraum entspricht.
Insgesamt verwenden weltweit 3 Milliarden Geräte Java, und 80 % der Browser tun dies. In der Zwischenzeit deaktivieren oder deinstallieren einige sehr sicherheitsbewusste Benutzer es vorsichtshalber ganz.
Entwickler des weithin beliebten Open-Source-Penetrationstesttools Matasploit haben diese Woche ein neues Modul für den neuesten Java-Angriff hinzugefügt, das eine kürzlich gepatchte Schwachstelle in der Rhino-Java-Implementierung von Oracle ausnutzt. Der ursprünglich von Forschern gemeldete Fehler in Oracle Java SE JDK und JRE 7 und 6 Update 27 und früher hier y hier und verwandelte sich dann schnell in ein heimliches Crimeware-Kit, wie der Blogger Brian Krebs in herausfand Ihre Website. Krebs On Security berichtete, dass der Angriff auch innerhalb des Crimeware-Kits BlackHole ausgeführt wurde.
«Java ist überall und niemand aktualisiert es ordnungsgemäßsagt HD Moore, Schöpfer und leitender Architekt für Metasploit und CSO bei Rapid7. «Nur sehr wenige Unternehmen aktualisieren es auf ihren Computern.»
„Oracle bietet zwar eine automatische Aktualisierungsfunktion für Java an, für deren Nutzung sind jedoch Administratorrechte für den Computerbenutzer erforderlich, was die meisten Unternehmen nicht zulassen.“sagt Moore.
Microsofts Director of Trustworthy Computing, Tim Rains, wies Anfang dieser Woche in einem Beitrag darauf hin, dass gepatchte Fehler in der Java-Software von Oracle seit Monaten unter Belagerung stehen. «Schwachstellen in der Java-Software von Oracle werden seit einigen Monaten in relativ großem Umfang angegriffen, und wie ich bereits erwähnt habe, sind seit einiger Zeit Sicherheitsupdates für diese Schwachstellen verfügbar.sagt Rains. «Wenn Sie Java in Ihrer Umgebung in letzter Zeit nicht aktualisiert haben, sollten Sie die damit verbundenen Risiken abschätzen. Unternehmen müssen sich unter anderem darüber im Klaren sein, dass möglicherweise mehrere Java-Versionen ausgeführt werden.«Er sagt.
Der Java-Fehler von Oracle, der letzten Monat von Oracle behoben wurde, ermöglicht es einem Java-Applet grundsätzlich, beliebigen Code außerhalb der Java-Sandbox auszuführen. Moore von Rapid7 sagt, dass der sogenannte Java Rhino Exploit (der auf mehreren Plattformen funktioniert, darunter Windows, iOS und Linux) im Hintergrund abläuft, ohne dass der Benutzer davon etwas mitbekommt. Interessanterweise ist Linux derzeit anfälliger für Angriffe. «Oracle hat es gepatcht, Apple verlangte ein Update auf Softwareebene. Aber die meisten Verkäufer Linux-Anbieter ... benötigen keine Updatessagt Moore.
Dies wird normalerweise als erste Stufe eines mehrstufigen Angriffs verwendet, um eine ausführbare Datei herunterzuladen oder einen Bot zu installieren.
Wolfgang Kandek, CTO von Qualyx, sagt, dass die Unterstützung des neuesten Exploits durch Metasploit dazu beitragen würde, das Bewusstsein für die Gefahr veralteter Java-Apps zu schärfen. «Der Vorteil davon, es in Metasploit zu haben, besteht darin, dass die Guten demonstrieren können, wie dieser [Angriff] funktioniert.", er sagt.
Viele der Organisationen, die in den Qualys-Kundendaten herausgefunden haben, dass veraltete Java-Apps ausgeführt werden, seien große Unternehmen, sagt er. «Es besteht die Tendenz, dass es keine guten Prozesse zum Patchen von Java gibt. Er fliegt unter dem Radar«Er sagt.
---- Und hier endet der Artikel.
Zweifellos hat dies viel mit dem zu tun, was wir zuvor erwähnt haben ... nämlich mit der Tatsache, dass Canonical wird Oracles Java nicht mehr in seinen Repositories anbieten (Ubuntu, Kubuntu, Xubuntuusw.), dann natürlich, wenn Oracle Das Einbinden von Updates ist nicht möglich, es lohnt sich nicht, da der Benutzer zu anfällig für Angriffe wie die oben genannten wäre.
Was denken Sie abschließend darüber? 😉
Grüße
PD: Erst gestern habe ich ein Tutorial darüber gelesen, wie es möglich ist, Linux auf meinem Nokia N70 zu installieren. Ich habe mich noch nicht entschieden, es zu tun. LOL!!!
Ich verwende IcedTea schon seit einiger Zeit (OpenJDK, kostenlos) und habe es fast immer deaktiviert, weil ich es kaum nutze ...
Ich habe wenig, ungefähr 3 Monate mit OpenJDK, ich kannte die Sicherheitslücke in Java nicht genau, ich habe es nur geändert, um zu sehen, wie Libreoffice funktioniert 😛
Ich weiß, das ist fast nicht zum Thema gehörend, aber ... Linux auf Nokia? Als? Wenn ich das Symbian m___ von meinem 5800 entfernen kann, würde ich mich freuen!
Wussten Sie, dass Symbian ein Cousin von Linux ist? 😀
Wie auch immer, ich habe immer noch nicht genug Informationen über Linux auf Nokia gelesen... keine Sorge, wenn ich ein paar brauchbare Informationen finde, gebe ich euch die Links 😉
KZKG^Gaara… sei mir nicht böse, aber… es gibt einige Fehler in der Übersetzung, zum Beispiel:
1.- „... machen Java in letzter Zeit zur Wahl der Black-Hat-Hacker“ sollte lauten: „... in letzter Zeit machen sie Java zur Wahl böswilliger Hacker.“
2.- „Vendor“ bedeutet im Englischen auch „Lieferant“ („Lieferant“), daher ist der Ausdruck „Aber die meisten Linux-Anbieter…“ problemlos „Aber die meisten Linux-Anbieter…“
Grüße
Nein für nichts 😀
Es stört mich wirklich nicht, ich bin kein professioneller Übersetzer, geschweige denn LOL!!!
Ich behebe es sofort 😉
Wirklich, vielen Dank, Englisch zu verstehen fällt mir nicht schwer, etwas komplizierter ist es für mich, es auf Spanisch zu schreiben und zu bestellen 😀
Grüße
🙂
Das Gleiche passiert mir mit Spanisch; Sätze mit lokalen Ausdrücken sind für mich schwer zu verstehen. Obwohl sie bereits die geringsten sind, entgehen mir einige noch.
„Black-Hat-Hacker“ ist ein Ausdruck, der zur Bezeichnung des böswilligen Hackers verwendet wird, und es ist sicherlich eine Camorra, ihn ins Spanische zu übersetzen.
Grüße und eine starke Umarmung
Ich weiß es nicht, aber mir ist bewusst, dass „bewusst“ nicht im RAE-Wörterbuch vorkommt.
Wir haben auch Linux-Anbieter wie Tito Mark und seine Handlanger
Mal sehen... mein Laptop ist Made in China, aber die Qualitätskontrolle erfolgt bei der B-Serie von HP, das heißt... die Komponenten werden in China hergestellt (billige Arbeitskräfte...), aber wer entscheidet, welche Komponenten gut genug sind, ist der Hersteller 😉
„Oracle bietet zwar eine Funktion zur automatischen Aktualisierung von Java, für deren Nutzung sind jedoch Administratorrechte für den Computerbenutzer erforderlich, was die meisten Unternehmen nicht zulassen.“
„Es besteht die Tendenz, dass es keine guten Prozesse für das Patchen von Java gibt.“
Das Problem liegt also nicht an Java, sondern daran, dass Benutzer nicht die Angewohnheit haben, es zu aktualisieren, oder?
Ehrlich gesagt ist das Problem mit Java die Sicherheit. Wenn wir es mit Flash vergleichen, ist Java 20-mal sicherer, das Problem ist, dass es eine schleppende Sprache ist. Es ist sexy zu lernen, aber es ist ein Albtraum, LOL!
Ich wollte sagen *es ist nicht so sicher*
Oftmals wird uns die Möglichkeit nicht gegeben, Oracle mit seinen Einschränkungen.
Ich für meinen Teil verwende OpenJDK und habe bisher keine Beschwerden 🙂
Ich habe in Debian Squeeze versucht, Sun-Java zu deinstallieren und auf die Standardeinstellungen zurückzusetzen, und da gab es ein … das ich am Ende aufgegeben habe.
Die Wahrheit ist, dass Java vor langer Zeit eine gute Alternative war, jetzt gibt es nur noch viele Probleme 🙁
Eine der Abhängigkeiten in Mexiko sind SAT und IMSS, die Sie dazu zwingen, sehr alte Versionen von mehr als 3 Jahren zu verwenden, da Sie deren Portale nicht betreten können.
Ich arbeite hauptsächlich mit administrativen Benutzern und sie aktualisieren nie etwas und sie verwenden Java für viele Regierungsprogramme und erfordern zwangsläufig bestimmte Versionen, die große Schwachstellen enthalten. Dies ist auch ein Problem, das Institutionen wie das IMSS und das SAT in Mexiko ernster nehmen sollten Behalten Sie Ihre Anwendungen und vertreiben Sie keine Software, die 2004 oder früher erstellt wurde und ähnliche Probleme aufweist
Nun, ich benutze Sun-Java schon seit geraumer Zeit und die Wahrheit ist, dass ich mich nicht beschweren kann, da ich die Ergebnisse erhalte, die ich mir immer gewünscht habe, und sogar ein wenig über das Konventionelle hinausgehe. Das OpenJDK für die Entwicklung würde ich niemandem empfehlen, obwohl ich denke, dass dies mein Kriterium ist. Grüße