Olen leidnud üsna huvitava artikli, allikas on darkreading.com ja autor on Kelly Jackson Higgins. Jätan selle tõlke:
Java varjukülg
Metasploit lisab uusimatele Java-rünnakutele uue mooduli, kui Java muutub küberkurjategijate uueks lemmiksihiks
01. detsember 2011 | 08:08
Autor Kelly Jackson Higgins
Tume lugemine
See on arendajate dekadentlik tööriist, kuid Java see on endiselt peamine ja endiselt sageli unustatud arvuti kohalolek, millele kurjamid üha enam tähelepanu pööravad.
Miks Java kui ründevektor?
Selle läbitungitavus ja liiga palju vananenud versioone, mis seal arvutites otsa saavad, teevad Java-st häkkerite jaoks viimase aja musta mütsi. Numbrid ütlevad kõik: Qualyse andmetel töötab umbes 80 ettevõttesüsteemis Java vananenud ja parandamata versioone. Ja alates 2010. aasta kolmandast kvartalist on Microsoft avastanud või blokeerinud igas kvartalis umbes 6.9 miljonit Java ekspluateerimiskatset, kokku 27.5 kuu jooksul 12 miljonit ekspluateerimiskatset.
Kokku kasutab Java Java-d maailmas 3 miljardit seadet ja 80% brauseritest. Samal ajal keelavad mõned turvatundlikud kasutajad selle täielikult ettevaatusabinõuna.
Sel nädalal laialt levinud avatud lähtekoodiga Matasploit tungimistestimise tööriista arendajad lisasid uusimale Java-rünnakule uue mooduli, mis kuritarvitab hiljuti Oracle'i Java-rakenduses lappinud haavatavust Rhino. Oracle Java SE JDK ning JRE 7 ja 6 värskenduse 27 ja varasemate versioonide viga, millest teadlased algselt teatasid siin y siin ja jõudis siis kiiresti põrandaaluse kriminaaltarkvara komplekti, nagu blogija Brian Krebs aastal avastas oma veebisaidil. Krebs On Security teatas, et rünnakut korraldati ka kriminaalvarakomplekti BlackHole raames.
«Java on seal, kus ta tahab, ja keegi ei uuenda seda korralikult«Ütleb Rapid7 Metasploiti ja CSO looja ja peaarhitekt HD Moore. «Väga vähesed ettevõtted värskendavad seda oma arvutis.»
„Oracle pakub Java-i jaoks automaatse värskendamise funktsiooni, kuid selle kasutamiseks on arvutikasutajal vaja administraatoriõigusi, mida enamik ettevõtteid ei luba"Ütleb Moore.
Microsofti usaldusväärse arvutustehnika direktor Tim Rains märkis selle nädala alguses oma postituses, et Oracle'i Java tarkvara lappide vead on juba mitu kuud piiratud. «Oracle'i Java tarkvara haavatavusi on mitu kuud rünnatud suhteliselt suures ulatuses ja nagu mainisin, on nende haavatavuste turvavärskendused olnud saadaval juba mõnda aega.»Ütleb vihmasadu. «Kui te pole Java-keskkonda hiljuti värskendanud, peaksite hindama kaasnevaid riske. Muuhulgas peavad organisatsioonid teadma, et neil võib töötada mitu Java versiooni.", Ta ütleb.
Oracle'i Java-viga, mille Oracle eelmisel kuul lappis, võimaldab põhimõtteliselt Java-aplettil suvalist koodi käivitada väljaspool Java-liivakasti. Rapid7 Moore ütleb, et niinimetatud Java Rhino Exploit (mis töötab mitmel platvormil, sealhulgas Windows, iOS ja Linux) toimub taustal, teadvustamata kasutajale, keda ekspluateerimine tabab. Huvitav on see, et Linux on nüüd rünnakute suhtes haavatavam. «Oracle lappis selle, Apple nõudis tarkvarauuendust. Kuid enamus müüjad Linuxi pakkujad ?? pole värskendusi vaja"Ütleb Moore.
Seda kasutatakse tavaliselt mitmeastmelise rünnaku esimese etapina, mida kasutatakse käivitatava faili allalaadimiseks või roboti installimiseks.
Qualyxi tehnoloogiajuht Wolfgang Kandek ütleb, et uusimat ärakasutamist toetav tenier Metasploit aitaks tõsta teadlikkust vananenud Java-rakenduste ohtlikkusest. «Metasploiti kasutamisest on kasu, et toredad poisid saavad näidata, kuidas see [rünnak] töötab", ta ütleb.
Paljud organisatsioonid leidsid, et Qualysi kliendiandmetes töötavad aegunud Java-rakendused, mis on suured ettevõtted, ütleb ta. «Java-plaasterdamisel on tendents, et häid protsesse pole. Ta lendab radari alla", Ta ütleb.
---- Ja siin artikkel lõpeb.
Kahtlemata on sellel palju pistmist sellega, mida me varem mainisime ... st millega Canonical lõpetab Oracle'i Java pakkumise oma hoidlates (Ubuntu, Kubuntu, Xubuntujne), muidugi, jah Oraakel ei luba värskendusi lisada, see pole seda väärt, sest kasutaja oleks ülalnimetatud rünnakute suhtes liiga haavatav.
Igatahes, mida te sellest arvate? 😉
seoses
PD: Just eile lugesin õpetust selle kohta, kuidas on võimalik Linuxi oma Nokia N70 installida, ma pole ikka veel otsustanud seda teha LOL !!!
Olen pikka aega kasutanud IcedTea (OpenJDK, tasuta) ja mul on see peaaegu alati keelatud, sest ma vaevu kasutan seda ...
Mul on OpenJDK kasutamist vähe, umbes 3 kuud, ma ei teadnud täpselt Java turvaviga, muutsin selle lihtsalt selleks, et näha, kuidas libreoffice töötab 😛
Ma tean, et see on peaaegu offtopic, aga ... Linux Nokia? Nagu? Kui ma suudan symbian m___ oma 5800-st välja võtta, oleksin ma rõõmus!
Kas teadsite, et Symbian on Linuxi esimene nõbu? 😀
Igatahes ei loe ma endiselt piisavalt teavet selle Linuxi kohta Nokias ... ärge muretsege, kui leian korralikku teavet, annan teile lingid
KZKG ^ Gaara ... ei häiri mind, kuid ... tõlkes on mõned vead, näiteks:
1 .- «... muudavad Java mustvalge häkkerite hiliseks valikuks» peaks olema «.. viimasel ajal teevad nad Java-st pahatahtlike häkkerite valiku»
2.- "Pakkuja" tähendab inglise keeles ka "tarnijat" ("tarnijat"), nii et fraas "Kuid enamik Linuxi müüjaid ..." jääb probleemideta "Kuid enamik Linuxi müüjaid ..."
seoses
Ei mingit asja 😀
See tõesti ei häiri mind, ma pole professionaalne tõlk, veel vähem LOL !!!
Parandan selle kohe ära 😉
Tõesti, suur aitäh, inglise keele mõistmine pole minu jaoks keeruline, minu jaoks on natuke keeruline seda kirjutada ja hispaania keeles tellida 😀
seoses
🙂
Sama juhtub minuga hispaania keelega; Fraase, mis sisaldavad kohalikke väljendeid, on mul raske mõista. Kuigi nad on vähemalt mõned, pääsevad ikkagi minust.
"Musta mütsiga häkker" on väljend, mida kasutatakse pahatahtliku häkkeri tähistamiseks ja kindlasti on selle hispaania keelde tõlkimine lärm.
Tervitused ja tugev kallistus
Ma ei tea, kuid olen teadlik, et RAE sõnastikus ei esine "teadlikku".
Meil on ka Linuxi müüjaid nagu Tito Mark ja tema käsilased
Vaatame ... minu sülearvuti on valmistatud Hiinas, kuid KVALITEEDI kontroll on HP B-seeria, see tähendab, et ... komponendid on toodetud Hiinas (odav tööjõud ...), kuid kes otsustab, millised komponendid on piisavalt head, on tootja 😉
"Oracle pakub küll Java-i automaatse värskendamise funktsiooni, kuid selle kasutamiseks on arvutikasutajal vaja administraatoriõigusi, mida enamik ettevõtteid ei luba"
"On tendents, et Java lappimiseks pole häid protsesse."
Nii et probleem pole Java-s, vaid selles, et kasutajatel pole harjumust seda värskendada?
Ausalt öeldes on java probleem turvalisus, kui võrrelda seda flashiga, on see 20 korda turvalisem java, probleem on selles, et see on roomav keel. õppida on seksikas, kuid see on õudusunenägu LOL!
Tahtsin öelda * mitte nii turvalisus *
Mitu korda ei anta meile ka võimalust, Oracle oma piirangutega.
Omalt poolt kasutan OpenJDK-d ja seni pole ühtegi kaebust 🙂
Proovisin Debian Squeeze'is desinstallida sun-java ja minna tagasi vaikeväärtuste juurde ning… lõpuks lõpetasin.
tõsi on see, et java oli ammu hea alternatiiv, nüüd on see lihtsalt palju probleeme 🙁
Üks sõltuvusi Mehhikos on SAT ja IMSS, mis tagab, et peate kasutama väga vanu versioone üle 3 aasta, sest kui te ei saa nende portaalidesse siseneda.
Töötan peamiselt administratiivsete kasutajatega ja nad ei värskenda kunagi midagi ning kasutavad Java-tarkvara paljude valitsusprogrammide jaoks ja mis nõuavad tingimata teatud versioone, mis sisaldavad suuri haavatavusi. See on teema, mida Mehhiko IMSS ja SAT peaksid tõsisemalt võtma säilitage oma rakendused ja mitte levitage enam 2004. aastal või varem loodud tarkvara selliste probleemidega
Noh, ma olen juba pikka aega kasutanud päikest java ja tõsi on see, et mul pole kaebusi tulemuste saamiseks, mida olen alati soovinud, ja isegi tavapärasest veidi kaugemale. Arendamiseks mõeldud openjdk pole midagi, mida soovitaksin kellelegi, kuigi arvan, et see on minu kriteerium. Terviseks