J'ai trouvé un article assez intéressant, la source est darkreading.com et l'auteur est Kelly Jackson Higgins. J'en laisse la traduction:
Le côté obscur de Java
Metasploit ajoute un nouveau module pour les dernières attaques Java lorsque Java devient la nouvelle cible préférée des cybercriminels
01 décembre 2011 | 08h08
Par Kelly Jackson Higgins
Lecture sombre
C'est un outil décadent de la part des développeurs, mais Java il reste une présence informatique principale et encore souvent oubliée qui est de plus en plus ciblée par les méchants.
Pourquoi Java comme vecteur d'attaque?
Sa pénétrabilité et le nombre démesuré de versions obsolètes sur les ordinateurs font de Java le chapeau noir de choix pour les pirates ces derniers temps. Les chiffres disent tout: environ 80 systèmes d'entreprise exécutent des versions obsolètes et non corrigées de Java, selon les données de Qualys. Et depuis le troisième trimestre de 2010, Microsoft a détecté ou bloqué environ 6.9 millions de tentatives d'exploitation Java chaque trimestre, avec un total de 27.5 millions de tentatives d'exploitation au cours de cette période de 12 mois.
Au total, 3 milliards d'appareils utilisent Java dans le monde, et 80% des navigateurs le font. Pendant ce temps, certains utilisateurs très avertis en matière de sécurité le désactivent ou le désinstallent entièrement par précaution.
Les développeurs de l'outil de test de pénétration Matasploit open source très populaire ont ajouté cette semaine un nouveau module pour la dernière attaque Java qui abuse d'une vulnérabilité récemment corrigée dans l'implémentation Java d'Oracle, Rhino. La faille dans Oracle Java SE JDK et JRE 7 et 6 mise à jour 27 et versions antérieures, initialement annoncée par les chercheurs ici ! y ici ! puis s'est rapidement concrétisé dans un kit de crimeware underground, comme l'a découvert le blogueur Brian Krebs dans Votre site web. Krebs On Security a rapporté que l'attaque était également menée dans le kit de crimeware BlackHole.
«Java est là où il veut, et personne ne le met à jour correctement«Dit HD Moore, créateur et architecte en chef de Metasploit et CSO chez Rapid7. «Très peu d'entreprises le mettent à jour sur leurs ordinateurs.»
«Oracle propose une fonctionnalité de mise à jour automatique pour Java, mais il nécessite des privilèges administratifs pour que l'utilisateur de l'ordinateur puisse l'utiliser, ce que la plupart des entreprises n'autorisent pas."Dit Moore.
Plus tôt cette semaine, le directeur de Trusted Computing de Microsoft, Tim Rains, a souligné dans un article que les bogues corrigés dans le logiciel Java d'Oracle étaient assiégés depuis des mois. «Les vulnérabilités du logiciel Java d'Oracle sont attaquées à une échelle relativement importante depuis plusieurs mois et, comme je l'ai mentionné, des mises à jour de sécurité pour ces vulnérabilités sont disponibles depuis un certain temps.»Dit Rains. «Si vous n'avez pas récemment mis à jour Java dans votre environnement, vous devez évaluer les risques présents. Entre autres choses, les organisations doivent savoir qu'elles peuvent exécuter plusieurs versions de Java."Il dit.
La faille Java d'Oracle, qui a été corrigée par Oracle le mois dernier, permet essentiellement à une applet Java d'exécuter du code arbitraire en dehors du bac à sable Java. Moore de Rapid7 dit que le soi-disant Java Rhino Exploit (qui fonctionne sur plusieurs plates-formes, y compris Windows, iOS et Linux) se produit en arrière-plan, inconscient de l'utilisateur touché par l'exploit. Fait intéressant, Linux est désormais plus vulnérable aux attaques. «Oracle l'a corrigé, Apple a exigé une mise à jour logicielle. Mais la plupart des vendeurs Fournisseurs Linux ?? n'ont pas besoin de mises à jour"Dit Moore.
Ceci est généralement utilisé comme première étape dans une attaque en plusieurs étapes, utilisé pour télécharger un fichier exécutable ou en installant un bot.
Wolfgang Kandek, directeur technique de Qualyx, affirme que tenier Metasploit soutenant le dernier exploit contribuerait à sensibiliser le public au danger des applications Java obsolètes. «L'avantage de l'avoir sur Metasploit est que les gentils peuvent démontrer comment cette [attaque] fonctionne", il dit.
De nombreuses entreprises ont constaté que l'exécution d'applications Java obsolètes sur les données clients de Qualys étaient de grandes entreprises, dit-il. «Il y a une tendance à ne pas avoir de bons processus pour patcher Java. Il vole sous le radar"Il dit.
---- Et ici l'article se termine.
Sans aucun doute, cela a beaucoup à voir avec ce que nous avons mentionné précédemment ... c'est-à-dire en ce qui concerne Canonical cessera de proposer Java d'Oracle dans ses référentiels (Ubuntu, Kubuntu, Xubuntu, etc), bien évidemment, oui Oracle ne permet pas d'inclure des mises à jour, cela ne vaut pas la peine, car l'utilisateur serait trop vulnérable aux attaques telles que celles mentionnées ci-dessus.
Quoi qu'il en soit, qu'en pensez-vous? 😉
salutations
PD: Hier encore, je lisais un tutoriel expliquant comment il est possible d'installer Linux sur mon Nokia N70, je n'ai toujours pas décidé de le faire LOL !!!
J'utilise IcedTea (OpenJDK, gratuit) depuis longtemps et je l'ai presque toujours désactivé car je l'utilise à peine ...
J'ai peu, environ 3 mois en utilisant OpenJDK, je ne connaissais pas exactement la faille de sécurité en java, je l'ai changée juste pour voir comment libreoffice fonctionnait 😛
Je sais que c'est presque hors-sujet mais… Linux sur Nokia? Comme? Si je peux retirer le symbian m___ de mon 5800, je serais ravi!
Saviez-vous que Symbian est le cousin germain de Linux? 😀
Quoi qu'il en soit, je ne lis toujours pas assez d'informations sur ce Linux sur Nokia ... ne vous inquiétez pas, quand je trouverai des informations décentes, je vous donnerai les liens
KZKG ^ Gaara… ne me dérange pas mais… il y a des erreurs dans la traduction, par exemple:
1 .- «… font de Java le choix des hackers black hat ces derniers temps» devrait être «.. dernièrement, ils font de Java le choix des hackers malveillants»
2.- "Vendor" en anglais signifie aussi "Supplier" ("Supplier") donc la phrase "Mais la plupart des vendeurs Linux ..." reste sans aucun problème "Mais la plupart des vendeurs Linux ..."
salutations
Nah pour rien 😀
Cela ne me dérange vraiment pas, je ne suis pas un traducteur professionnel, encore moins LOL !!!
Je le répare tout de suite 😉
Vraiment, merci beaucoup, comprendre l'anglais n'est pas difficile pour moi, ce qui est un peu complexe pour moi, c'est de l'écrire et de le commander en espagnol 😀
salutations
????
La même chose m'arrive avec l'espagnol; Les phrases contenant des expressions locales sont difficiles à comprendre pour moi. Bien qu'ils soient au moins certains m'échappent encore.
"Black hat hacker" est une expression utilisée pour désigner le pirate malveillant et il est certainement difficile de le traduire en espagnol.
Salutations et un câlin fort
Je ne sais pas mais je suis conscient que «conscient» n'apparaît pas dans le dictionnaire RAE.
Nous avons aussi des fournisseurs Linux comme Tito Mark et ses hommes de main
Voyons voir ... mon ordinateur portable est fabriqué en Chine, mais le contrôle QUALITÉ est la série B de HP, c'est-à-dire que ... les composants sont fabriqués en Chine (main-d'œuvre bon marché ...) mais qui décide quels composants sont assez bons c'est le fabricant 😉
"Oracle propose une fonction de mise à jour automatique pour Java, mais il nécessite des privilèges administratifs pour que l'utilisateur de l'ordinateur puisse l'utiliser, ce que la plupart des entreprises n'autorisent pas"
"Il y a une tendance à ne pas avoir de bons processus pour patcher Java."
Le problème n'est donc pas Java mais que les utilisateurs n'ont pas l'habitude de le mettre à jour, n'est-ce pas?
Honnêtement le problème avec java est tellement la sécurité, si on le compare avec flash java est 20 fois plus sécurisé, le problème est que c'est un langage qui rampe. c'est sexy à apprendre mais c'est un cauchemar LOL!
Je voulais dire * pas si sécuritaire *
Plusieurs fois, nous n'en avons pas non plus la possibilité, Oracle avec ses restrictions.
Pour ma part j'utilise OpenJDK, et pour l'instant rien à redire 🙂
J'ai essayé dans Debian Squeeze de désinstaller le sun-java et de revenir à ceux par défaut, et un… que finalement j'ai quitté.
la vérité est que java était une bonne alternative il y a longtemps maintenant c'est juste beaucoup de problèmes 🙁
L'une des dépendances au Mexique est SAT et IMSS, ce qui garantit que vous devez utiliser des versions très anciennes de plus de 3 ans, car si vous ne pouvez pas accéder à leurs portails.
Je travaille principalement avec des utilisateurs administratifs et ils ne mettent jamais rien à jour et ils utilisent java pour de nombreux programmes gouvernementaux et qui nécessitent nécessairement certaines versions qui incluent de grandes vulnérabilités, c'est aussi un problème que les institutions telles que l'IMSS et le SAT au Mexique devraient prendre plus au sérieux et conservez vos applications et ne distribuez plus de logiciels créés en 2004 ou avant avec de tels problèmes
Eh bien, j'utilise sun-java depuis un certain temps et la vérité est que je n'ai rien à redire pour obtenir les résultats que j'ai toujours voulus et même aller un peu au-delà du conventionnel. L'openjdk pour le développement n'est pas quelque chose que je recommanderais à quiconque, même si je suppose que ce sont mes critères. À votre santé