Mi trovis sufiĉe interesan artikolon, la fonto estas darkreading.com kaj la aŭtoro estas Kelly Jackson Higgins. Mi lasas la tradukon de ĝi:
La Malluma Flanko de Ĝavo
Metasploit aldonas novan modulon por la plej novaj Java-atakoj, kiam Java fariĝas la nova plej ŝatata celo de ciberkrimuloj
01 Dec 2011 | 08:08 PM
De Kelly Jackson Higgins
Malluma legado
Ĝi estas kaduka ilo fare de programistoj, sed java ĝi restas ĉefa kaj ankoraŭ ofte forgesita ĉeesto en komputiloj, pli kaj pli celata de fiuloj.
Kial Ĝavo kiel atakvektoro?
Ĝia penetrebleco kaj la senmezura nombro de malmodernaj versioj, kiuj funkcias en komputiloj, faras de Java lastatempe la preferatan nigran ĉapelon por retpiratoj. La nombroj diras ĉion: Proksimume 80 entreprenaj sistemoj funkcias malnoviĝintaj, senflikaj versioj de Java, laŭ datumoj de Qualys. Kaj ekde la tria trimonato de 2010, Mikrosofto detektis aŭ blokis ĉirkaŭ 6.9 milionojn da Java-ekspluataj provoj ĉiun kvaronon, por entute 27.5 milionoj da ekspluataj provoj dum tiu 12-monata periodo.
Entute 3 miliardoj da aparatoj uzas Ĝavan en la mondo, kaj 80% de retumiloj uzas ĝin. Dume iuj tre sekurecaj spertaj uzantoj malebligas aŭ malinstalas ĝin tute singarde.
Ellaborantoj de la vaste populara malfermfonteco Matasploit-penetra testilo ilo ĉi-semajne aldonis novan modulon por la plej nova Java-atako, kiu misuzas ĵus flikitan vundeblecon en la Java-efektivigo de Oracle, Rhino. La difekto en Oracle Java SE JDK kaj JRE 7 kaj 6 ĝisdatigas 27 kaj antaŭajn versiojn, kiun komence anoncis esploristoj Ĉi tie y Ĉi tie kaj poste rapide realiĝis en kaŝa krimila ilaro, kiel malkovris blogisto Brian Krebs en via retejo. Krebs Pri Sekureco raportis, ke la atako ankaŭ estis plenumita ene de la ilaro BlackHole.
«Ĝavo estas kie ajn ĝi volas, kaj neniu ĝisdatigas ĝin ĝuste«Diras HD Moore, kreinto kaj ĉefarkitekto por Metasploit kaj CSO ĉe Rapid7. «Tre malmultaj kompanioj ĝisdatigas ĝin per siaj komputiloj.»
"Oracle ofertas aŭtomatan ĝisdatigan funkcion por Java, sed ĝi postulas administrajn privilegiojn por ke la komputila uzanto uzu ĝin, ion, kion plej multaj kompanioj ne permesas."Diras Moore.
La direktoro de Microsoft pri Fidinda Komputado, Tim Rains, pli frue ĉi-semajne atentigis per afiŝo, ke flikitaj cimoj en la Java-programoj de Oracle estis sieĝataj de monatoj. «Vundeblecoj en la programaro Java de Oracle estis atakataj relative grandskale de kelkaj monatoj nun kaj, kiel mi menciis, sekurecaj ĝisdatigoj por ĉi tiuj vundeblecoj estis haveblaj de iom da tempo.»Diras Pluvoj. «Se vi ne ĝisdatigis Ĝavan en via medio lastatempe, vi devas taksi la riskojn. Interalie, organizoj devas konscii, ke ili povas havi plurajn versiojn de Java funkcianta.", Li diras.
La Java-difekto de Oracle, flikita de Oracle pasintmonate, esence permesas al Java-aplikaĵo lanĉi arbitran kodon ekster la Java-sandbox. Moore de Rapid7 diras, ke la tiel nomata Java Rhino Exploit (kiu funkcias sur multaj platformoj, inkluzive de Vindozo, iOS kaj Linukso) okazas en la fono, senkonscia al la uzanto trafita de la ekspluatado. Kurioze, Linukso pli vundeblas ataki nun. «Oracle flikis ĝin, Apple postulis programan ĝisdatigon. Sed plejparto de la vendistoj Linukso-vendistoj ... ne postulis ĝisdatigojn"Diras Moore.
Ĉi tio estas kutime uzata kiel unua etapo en plurstaza atako, uzata por elŝuti plenumeblan dosieron aŭ instalante robotprogramon.
Wolfgang Kandek, ĉefoficisto de Qualyx, diras, ke tenas Metasploit subtenanta la plej novan ekspluaton helpus konsciigi pri la danĝero de malaktualaj Java-programoj. «La avantaĝoj de havi ĝin ĉe Metasploit estas, ke la simpatiaj uloj povas pruvi kiel ĉi tiu [atako] funkcias", li diras.
Multaj el la organizoj, kiuj trovis malaktualajn Java-programojn pri la klientaj datumoj de Qualys, estis grandaj kompanioj, li diras. «Estas emo ne havi bonajn procezojn por fliki Java. Li flugas sub la radaron", Li diras.
---- Kaj jen la artikolo finiĝas.
Sendube, ĉi tio multe rilatas al tio, kion ni menciis antaŭe ... tio estas, al kio Canonical ĉesos oferti Java de Oracle en siaj deponejoj (ubuntu, Kubuntu, Xubuntu, ktp), nu evidente, jes plejsanktejo ne permesas inkluzivi ĝisdatigojn, ĝi ne indas, ĉar la uzanto estus tro vundebla al atakoj kiel tiuj supre menciitaj.
Ĉiuokaze, kion vi pensas pri ĝi? 😉
salutoj
PD: Hieraŭ mi legis lernilon pri kiel eblas instali Linukson sur mia Nokia N70, mi ankoraŭ ne decidis fari ĝin LOL !!!
18 komentoj, lasu la viajn
Mi uzas IcedTea (OpenJDK, senpaga) delonge kaj mi preskaŭ ĉiam havas ĝin malŝaltita, ĉar mi apenaŭ uzas ĝin ...
Mi havas malmulton, ĉirkaŭ 3 monatojn uzante OpenJDK, mi ne sciis precize la sekurecan difekton en java, mi ŝanĝis ĝin nur por vidi kiel funkciis libreoffice 😛
Mi scias, ke tio estas preskaŭ ekstertema, sed ... Linukso ĉe Nokia? Kiel? Se mi povas forpreni la simbian m___ el mia 5800, mi ĝojus!
Ĉu vi sciis, ke Symbian estas la unua kuzo de Linukso? 😀
Ĉiuokaze, mi ankoraŭ ne legas sufiĉe da informoj pri ĉi tiu Linukso ĉe Nokia ... ne zorgu, kiam mi trovos iom da decaj informoj, mi donos al vi la ligojn 😉
KZKG ^ Gaara ... ne ĝenu min sed ... estas iuj eraroj en la traduko, ekzemple:
1 .- «... faras Java kiel la elekto de la nigra ĉapelo antaŭ nelonge» devus esti «.. lastatempe ili faras Java la elekto de malicaj retpiratoj»
2.- "Vendor" en la angla ankaŭ signifas "Provizanto" ("Provizanto") do la frazo "Sed plej multaj Linuksaj vendistoj ..." restas senprobleme "Sed plej multaj Linuksaj vendistoj ..."
salutoj
Nah por nenio 😀
Ĝi vere ne ĝenas min, mi ne estas profesia tradukisto, des malpli LOL !!!
Mi riparas ĝin nun 😉
Vere, mi tre dankas vin, kompreni la anglan ne malfacilas por mi, kio iom komplikas por mi estas skribi ĝin kaj mendi ĝin en la hispana 😀
salutoj
🙂
La samo okazas al mi kun la hispana; Frazoj enhavantaj lokajn esprimojn malfacilas por mi kompreni. Kvankam ili almenaŭ iuj ankoraŭ eskapas de mi.
"Nigra ĉapelo-retpirato" estas esprimo uzata por indiki la malican retpiraton kaj certe estas ĝeno traduki ĝin al la hispana.
Salutojn kaj fortan brakumon
Mi ne scias, sed mi konscias, ke "konscia" ne aperas en la RAE-vortaro.
Ni ankaŭ havas Linuksajn vendistojn kiel Tito Mark kaj liaj dungosoldatoj
Ni vidu ... mia tekkomputilo estas fabrikita en Ĉinio, sed la KVALA regilo estas la serio B de HP, tio estas ... la komponantoj estas fabrikitaj en Ĉinio (malmultekosta laboro ...) sed kiu decidas, kiuj komponantoj estas sufiĉe bonaj, estas la fabrikanto. 😉
"Oracle ofertas aŭtomatan ĝisdatigan funkcion por Java, sed ĝi postulas administrajn privilegiojn por ke la komputila uzanto uzu ĝin, kion la plej multaj kompanioj ne permesas"
"Estas tendenco ne havi bonajn procezojn por fliki Java."
Do la problemo ne estas Ĝavo sed tiuj uzantoj ne havas la kutimon ĝisdatigi ĝin, ĉu ne?
Sincere la problemo kun java estas tiel sekura, se ni komparas ĝin kun flash java estas 20-oble pli sekura, la problemo estas, ke ĝi estas lingvo rampanta. estas seksalloga lerni sed ĝi estas koŝmaro LOL!
Mi volis diri * ne tiel sekureca *
Multfoje ankaŭ ni ne havas la eblon, Oracle kun ĝiaj limigoj.
Miaflanke mi uzas OpenJDK, kaj ĝis nun neniu plendo 🙂
Mi provis en Debian Squeeze malinstali la sun-java kaj reiri al la defaŭltaj, kaj ... ke finfine mi ĉesis.
la vero estas, ke Java estis bona alternativo antaŭ longa tempo, ĝi estas nur multaj problemoj 🙁
Unu el la dependecoj en Meksiko estas SAT kaj IMSS, kiu certigas, ke vi devas uzi tre malnovajn versiojn de pli ol 3 jaroj, ĉar se vi ne povas eniri iliajn portalojn.
Mi laboras plejparte kun administraj uzantoj kaj ili neniam ĝisdatigas ion kaj uzas java por multaj registaraj programoj kaj kiuj nepre postulas certajn versiojn, kiuj inkluzivas grandajn vundeblecojn, ĉi tio ankaŭ estas temo, kiun institucioj kiel la IMSS kaj SAT en Meksiko devas pli serioze pripensi kaj konservu viajn programojn kaj ne plu distribuu programojn kreitajn en 2004 aŭ antaŭe kun tiaj problemoj
Nu, mi uzas sun-java dum sufiĉe longa tempo kaj la vero estas, ke mi havas neniujn plendojn pri la rezultoj, kiujn mi ĉiam volis, kaj eĉ iomete preterpasas la konvencian. La openjdk por disvolviĝo ne estas io, kion mi rekomendus al iu ajn, kvankam mi supozas, ke tio estas mia kriterio. Saluton