Αυτή την εβδομάδα έγινε πολύς λόγος για την Java. Στην αρχή έγινε λόγος για την έκδοση 7 update 10. Ότι ήταν πολύ ευάλωτη. Ήταν τόσο ευάλωτο και κρίσιμο που πολλοί συνέστησαν την πλήρη απεγκατάσταση της Java στους υπολογιστές τους.
0 ημερών Un επίθεση μηδενικής ημέρας (στα Αγγλικά επίθεση zero-day ή επίθεση 0-day) είναι μια επίθεση εναντίον μιας εφαρμογής ή συστήματος που έχει ως στόχο την εκτέλεση κακόβουλου κώδικα χάρη στη γνώση των τρωτών σημείων που, γενικά, είναι άγνωστα στους ανθρώπους και στον κατασκευαστή του προϊόντος. Αυτό προϋποθέτει ότι δεν έχουν ακόμη διορθωθεί. Αυτός ο τύπος εκμεταλλεύονται Κυκλοφορεί γενικά στις τάξεις των πιθανών επιτιθέμενων μέχρι να αναρτηθεί τελικά σε δημόσια φόρουμ. Η επίθεση zero-day θεωρείται ένα από τα πιο επικίνδυνα όργανα του α υπολογιστής πόλεμος1
Η ευπάθεια ήταν αρκετά σοβαρή αφού επέτρεπε την εκτέλεση και εγκατάσταση Λογισμικού στο σύστημα χωρίς να το γνωρίζει ο χρήστης, αυτό επέτρεπε την κλοπή πληροφοριών και την πραγματοποίηση σχεδόν οτιδήποτε.
Τις τελευταίες μέρες οι «ιδιοφυΐες» της Oracle κυκλοφόρησαν τη νέα τους έκδοση με ένα υποτιθέμενο patch για 0-day που ονομάζεται Java 7 update 11.
Αλλά πολλοί λένε ότι η ευπάθεια εξακολουθεί να υφίσταται. Ή μάλλον, δεν έχει επιδιορθωθεί πλήρως. Σύμφωνα με τους ειδικούς, λένε ότι η Oracle θα μπορούσε να πάρει έως και 2 χρόνια για να διορθώσει πλήρως αυτήν την ευπάθεια.
Από την Oracle μας προτείνουν να πάμε στον πίνακα ελέγχου της Java και να προσαρμόσουμε το επίπεδο ασφάλειας και να το περάσουμε από μεσαίο σε υψηλό και αυτό θα κάνει πιο δύσκολη την εκτέλεση κακόβουλου κώδικα χωρίς τη συγκατάθεσή μας. Προσοχή όμως «Θα το κάνει πιο δύσκολο» Δεν θα το σταματήσει.
Προσωπικά λέω ότι η εποχή της Java τελείωσε. Από τότε που διάβασα ιστολόγια η Java αποδεικνυόταν πάντα πολύ ευάλωτη και η αλήθεια είναι ότι ποτέ δεν ανακάλυψα αν έχω εγκαταστήσει την Java ή όχι. Δηλαδή, δεν παρατηρώ τη διαφορά. Προσωπικά, εδώ και πολύ καιρό το απεγκατέστησα και η ζωή μου συνεχίζει το ίδιο. Πιο ασφαλές φυσικά 😀
Θα συνιστούσα αν είστε χρήστες επιτραπέζιου υπολογιστή. Κοινό και άγριο, μην εγκαταστήσετε Java. Έχουμε ήδη αρκετά με το Flash.
Δεν ξέρω γιατί παθαίνω ένα μικρό χαμόγελο όταν διαβάζω αυτό. Ίσως είμαι εγώ ;D
Είμαστε ήδη δύο χεχεχε
ούτε καν openjdk;
Εάν κάνετε homebanking ή χρησιμοποιείτε σύνθετους ιστότοπους, είναι πολύ πιθανό να χρειαστεί να έχετε εγκαταστήσει την Java για να τους χρησιμοποιήσετε – Java RTE, όχι OpenJDK όπου οι περισσότεροι από αυτούς τους ιστότοπους δεν λειτουργούν.
Αν το msx είναι σωστό, και στην περίπτωσή μου, για παράδειγμα, είναι απαραίτητο να μπω στο σύστημα σημειώσεων και εγγραφής μαθημάτων του πανεπιστημίου μου. Παρεμπιπτόντως, μην το πάρετε με λάθος τρόπο, αλλά θα μπορούσατε να δημοσιεύσετε τις πηγές που λένε ότι η ευπάθεια εξακολουθεί να υπάρχει μετά την ενημέρωση; Με ενδιαφέρει να μάθω περισσότερα αφού η χρήση της java είναι αναγκαίο κακό.
Ήμουν πάντα ο μεγαλύτερος επικριτής της Java σε αυτά τα μέρη. Η αλήθεια είναι ότι αυτού του είδους τα κρίσιμα τρωτά σημεία εμφανίζονται πάντα σε αυτήν τη γλώσσα και αυτός είναι ένας από τους πολλούς λόγους για τους οποίους αρνούμαι να χρησιμοποιήσω ένα τόσο κακής ποιότητας προϊόν.
Έλα, δεν αργεί να απαντήσει κάποιος ότι η Java είναι αυτή, το Android είναι εκείνη η... σκασμός Java.
Μια μικρή διόρθωση: αυτό που είναι ανασφαλές δεν είναι η γλώσσα (που με τις τάξεις και την θήκη της είναι φρικτή, δηλαδή) αλλά η εικονική μηχανή όπου η Java μεταγλωττίζεται εν κινήσει.
Προφανώς, το λάθος μου που δεν το προσδιορίζω, μερικές φορές τείνω να γενικεύω πάρα πολύ.
Αλλά δεν μου αρέσουν όλα όσα έχουν να κάνουν με την Java.
Συμπεριλαμβανομένου του φρικτού, αργού, αρχαϊκού, αξιολύπητου κινητήρα dalvik που χρησιμοποιεί το android.
Ουφ, είναι καλό να βρίσκεις ανθρώπους με άποψη και να μη φοβάσαι να πεις τα πράγματα όπως είναι.
Ευτυχώς το μέλλον φαίνεται πολλά υποσχόμενο με τον μεγάλο αριθμό εναλλακτικών που βρίσκονται στην τελική φάση ωρίμανσης :D:D
Ήρθε η ώρα να αντικαταστήσουμε όλη την Java με Python... νομίζω. Όπως είπε ο συγγραφέας, η εποχή της Java τελείωσε.
Συμφωνώ απόλυτα.
Στο ότι, αν συμφωνώ, η python δεν χρειάζεται καν να γίνει μεταγλώττιση, αλλά πώς μπορώ να κατεβάσω χωρίς jdownloader;
υνίο
Ελπίζω το αφεντικό μου να μην το διαβάσει αυτό... αλλιώς θα αφοσιωθώ στο να πουλάω χειροτεχνίες στην πλατεία... χεχεχε
Εντάξει με τα νέα. Τέλος πάντων, στα μέρη που έχω διαβάσει για αυτήν την ευπάθεια Java, προειδοποιούν μόνο τους χρήστες Windows και OS X, δεν έχω δει καμία αναφορά για το GNU/Linux, σε καμία περίπτωση, όπως σε όλα τα πράγματα, ο βαθμός κινδύνου που αντιπροσωπεύει θα εξαρτηθεί από τις συνήθειες περιήγησης και ασφάλειας. Από την άλλη, δεν είμαι πολύ σαφής σχετικά με την απενεργοποίηση ή/και την πλήρη απεγκατάσταση της Java, καθώς δεν χρησιμοποιείται μόνο από προγράμματα περιήγησης. Αν κοιτάξετε προσεκτικά, οι σουίτες LibreOffice και OpenOffice το εγκαθιστούν και το χρησιμοποιούν από προεπιλογή, επομένως δεν είμαι σίγουρος πόσο αποτελεσματική είναι η "απεγκατάσταση", αν κάποιος έχει μια πιο ακριβή ιδέα για το θέμα, θα το εκτιμούσα αν το εξηγούσατε λεπτομερώς.
Το Linux είναι ευάλωτο:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
και παρόλο που μειώνετε τον κίνδυνο με το να μην επισκέπτεστε σελίδες αμφιβόλου ασφάλειας, η μόλυνση μπορεί να προκληθεί από το απλό γεγονός της επίσκεψης σε μια παραβιασμένη σελίδα (ο ιστότοπος του σχολείου σας, ένα εμπορικό κατάστημα κ.λπ.).
Αν και το Linux είναι πιο ασφαλές, μην τροφοδοτείτε τον μύθο ότι είναι ανέγγιχτο.
Δεν είναι έτσι.
Το GNU/Linux είναι ασφαλές, η Java είναι ανασφαλής.
Τα Windows δεν είναι ασφαλή με ή χωρίς Java.
Αν αφήσεις ανοιχτό έναν διακομιστή SSH στη θύρα 22 με πρόσβαση root και χωρίς κωδικό, λογικά θα μπουν σαν τον Πάντσο στο σπίτι του.
Όχι ότι υπάρχει FUD τροφοδοσίας.
Και προσθέτω: το πρόβλημα της Java είναι οι απαιτήσεις χαμηλού επιπέδου της εικονικής μηχανής, υπό αυτό το νέο πρίσμα είναι προφανές ότι:
η εικονική μηχανή χρειάζεται πρόσβαση χαμηλού επιπέδου στο σύστημα για να λειτουργήσει, κάτι που από μόνο του είναι ένα σφάλμα σχεδιασμού και ένα διάνυσμα επίθεσης, καθώς το σύστημα (το GNU/Linux σε αυτήν την περίπτωση) δεν έχει τρόπο να ενεργήσει ή να αμυνθεί αφού κυριολεκτικά παραδίδει τα κλειδιά στην Java.
Λογικά, εάν η εικονική μηχανή ζητήσει απεριόριστη πρόσβαση στο σύστημα για να λειτουργήσει, αυτό θα είναι το πιο αδύναμο σημείο του ίδιου του συστήματος και η γενική ασφάλεια του συστήματος θα χαρακτηρίζεται από την ασφάλεια των εφαρμογών που πρέπει να εκτελούνται στο χώρο του πυρήνα ή στον προνομιακό χώρο χρήστη.
Τεκμηριώστε τον εαυτό σας, διαβάστε, κατανοήστε και -παρακαλώ- μην διαδώσετε FUD.
Από όσο θυμάμαι ή καταλαβαίνω, δεν υπάρχει περίπτωση οποιαδήποτε εφαρμογή να έχει πρόσβαση σε ένα τόσο χαμηλό επίπεδο δράσης στον πυρήνα.
Το έχω διαβάσει αλλά αυτή τη στιγμή δεν θυμάμαι πού και η αλήθεια είναι ότι ούτε εγώ ξέρω αρκετά για να το διαφωνήσω… Δεν είμαι και τόσο ανεύθυνος, αλλά ήθελα να το σχολιάσω πάντως.
Έχω libreoffice και δεν έχω εγκαταστήσει java.
Στην περίπτωση των Windows, επηρεάζει τα XP και 7. Windows 8 και Explorer 10 χωρίς προβλήματα. Στον υπολογιστή Linux το έχω ήδη απενεργοποιήσει στα προγράμματα περιήγησης, για κάθε ενδεχόμενο.
Λοιπόν, αν χρησιμοποιείτε Sun Java σε Linux, χρειάζεται λίγος χρόνος για να ενημερωθεί. Ειδικά αν χρησιμοποιείτε Distros όπως το Debian. Έτσι, γενικά, είτε μεταγλωττίζονται είτε εγκαθίστανται τα manual .debs. Επομένως δεν ενημερώνονται οι ίδιοι.
απλά απενεργοποιήστε τα πρόσθετα, δεν χρειάζεται να απεγκαταστήσετε
Τι νόημα έχει να εγκαταστήσετε ένα πρόσθετο και να το απενεργοποιήσετε;
Ότι όταν διορθωθεί το πρόβλημα το ενεργοποιείς, φαντάζομαι ότι θα ενημερωθεί με το patch.
οτι οταν λυσουν το προβλημα και βγαλουν καινουργια εκδοση τους ξαναενεργοποιεις ειναι το ιδιο που λεει ο Χουαν Καρλος εκτος απο τα patches μιας και οσα και να κυκλοφορουν φαινεται οτι το προβλημα επιμενει
@Τσάρλι Μπράουν
Το Libreoffice εγκαθιστά το openjdk, δεν εγκαθιστά java, από αυτήν την πλευρά δεν υπάρχει πρόβλημα, τώρα όπως λέει και το msx, ναι
Yippee, είμαστε σίγουροι.
Τι θα λέγατε για το openjdk;
Είμαι minecrafter... Δεν είμαι διατεθειμένος να τα παρατήσω τόσο εύκολα 😛
Επιτρέψτε μου να διευκρινίσω ένα πράγμα, αυτό το σφάλμα επηρεάζει το openjdk; γιατι απο οτι ξερω τα περισσοτερα λινουξ χρησιμοποιουν openjdk, γιατι απο οτι διαβασα ειναι σφαλμα java ή oracle error