Találtam egy nagyon érdekes cikket, a forrás az darkreading.com a szerző pedig az Kelly Jackson Higgins. Hagyom a fordítását:
Java sötét oldala
A Metasploit új modult ad hozzá a legújabb Java támadásokhoz, amikor a Java válik az internetes bűnözők új kedvenc célpontjává
01. december 2011 08:08
Írta: Kelly Jackson Higgins
Sötét olvasás
Ez egy dekadens eszköz a fejlesztők részéről, de Jáva továbbra is elsődleges és még mindig gyakran elfeledett jelenlét a számítógépeken, amely egyre inkább a gazemberek célpontja.
Miért a Java mint támadási vektor?
Átjárhatósága és az elavult verziók túl sok száma a számítógépeken kifuttatva az utóbbi időben a Java-t választja a hackerek számára. A számok mindent elmondanak: A Qualys adatai szerint körülbelül 80 vállalati rendszer futtatja a Java elavult, javítatlan verzióit. És 2010 harmadik negyedéve óta a Microsoft minden negyedévben körülbelül 6.9 millió Java kihasználási kísérletet észlelt vagy blokkolt, összesen 27.5 millió kihasználási kísérletet ebben a 12 hónapos időszakban.
Összességében 3 milliárd eszköz használja a Java-t a világon, és a böngészők 80% -a használja. Eközben néhány nagyon biztonságtudó felhasználó elővigyázatosságból teljesen letiltja vagy eltávolítja.
A széles körben elterjedt, nyílt forráskódú Matasploit penetrációs tesztelő eszköz fejlesztői a héten új modult adtak a legújabb Java támadáshoz, amely visszaél az Oracle Java-implementációjának nemrégiben javított sebezhetőségével, a Rhino-val. Az Oracle Java SE JDK, valamint a JRE 7 és 6 frissítés 27-es és korábbi verzióinak hibája, amelyet eredetileg a kutatók jelentettek be itt y itt majd gyorsan megvalósult egy titkos bűncselekmény-készletben, amire Brian Krebs blogger felfedezte az Ön webhelyén. A Krebs On Security arról számolt be, hogy a támadást a BlackHole bűncselekmény-készletben is futtatták.
«A Java bárhol van, és senki sem frissíti megfelelően«Mondja HD Moore, a Rapid7 Metasploit és CSO alkotója és főépítésze. «Nagyon kevés vállalat frissíti a számítógépén.»
"Az Oracle kínál egy automatikus frissítési funkciót a Java számára, de rendszergazdai jogosultságokra van szükség a számítógép felhasználói számára, amit a legtöbb vállalat nem engedélyez.- Mondja Moore.
A Microsoft megbízható számítástechnikai igazgatója, Tim Rains a hét elején egy bejegyzésben rámutatott, hogy az Oracle Java szoftverének hibáinak javítását hónapok óta ostromolták. «Az Oracle Java szoftverének sebezhetőségét már hónapok óta viszonylag nagymértékben támadják, és mint említettem, a biztonsági rések biztonsági frissítései már egy ideje rendelkezésre állnak.»Mondja Rains. «Ha a közelmúltban nem frissítette a Java-t a környezetében, értékelnie kell a fennálló kockázatokat. A szervezeteknek többek között tisztában kell lenniük azzal, hogy a Java több verziója is futhat.", Mondja.
Az Oracle Java hibája, amelyet az Oracle a múlt hónapban javított, alapvetően lehetővé teszi, hogy a Java kisalkalmazások tetszőleges kódot futtassanak a Java homokozón kívül. A Rapid7 Moore szerint az úgynevezett Java Rhino Exploit (amely több platformon is működik, beleértve a Windowsot, az iOS-t és a Linuxot is) a háttérben történik, öntudatlanul azzal a felhasználóval szemben, akit a kihasználás ér. Érdekes, hogy a Linux jelenleg sebezhetőbb a támadásokkal szemben. «Az Oracle javította, az Apple szoftverfrissítést követelt. De a legtöbb eladók Linux szolgáltatók ?? nem igényelt frissítést- Mondja Moore.
Ezt általában egy többlépcsős támadás első szakaszaként használják, futtatható fájl letöltésére vagy bot telepítésével.
Wolfgang Kandek, a Qualyx vezérigazgatója szerint a legújabb kihasználást támogató teniszező Metasploit segítene felhívni a figyelmet az elavult Java-alkalmazások veszélyére. «A Metasploit használatának előnye, hogy a kedves srácok be tudják mutatni, hogyan működik ez a [támadás]", mondja.
Számos olyan szervezet, amely elavult Java alkalmazásokat futtat a Qualys ügyféladatain, nagyvállalatok voltak - mondja. «Az a tendencia, hogy nincsenek jó folyamatok a Java javításához. A radar alatt repül", Mondja.
---- És itt a cikk véget ér.
Kétségtelen, hogy ennek sok köze van ahhoz, amit korábban említettünk ... vagyis mit illetően A Canonical felhagy az Oracle Java kínálatával a tárházaiban (Ubuntu, Kubuntu, Xubuntustb.), nyilvánvalóan igen Jóslat nem teszi lehetővé a frissítések beépítését, nem érdemes, mivel a felhasználó túlságosan kiszolgáltatott lenne a fent említett támadásokkal szemben.
Egyébként mit gondolsz erről? 😉
Üdvözlet
PD: Éppen tegnap olvastam egy oktatóanyagot arról, hogyan lehet Linuxot telepíteni a Nokia N70-re, még mindig nem döntöttem úgy, hogy megteszem LOL !!!
Régóta használom az IcedTea-t (OpenJDK, ingyenes), és szinte mindig le van tiltva, mert alig használom ...
Kevés, körülbelül 3 hónapom van az OpenJDK használatával, nem tudtam pontosan a java biztonsági hibáját, csak azért változtattam meg, hogy lássam, hogyan működik a libreoffice 😛
Tudom, hogy ez szinte offtopic, de ... Linux a Nokia-n? Mint? Ha ki tudom venni a symbian m___-t az 5800-ból, örülnék!
Tudta, hogy a Symbian a Linux első unokatestvére? 😀
Egyébként még mindig nem olvasok elegendő információt erről a Linuxról a Nokia-n ... ne aggódjon, ha valamilyen tisztességes információt találok, megadom a linkeket 😉
KZKG ^ Gaara ... ne foglalkozzon velem, de ... van néhány hiba a fordításban, például:
1 .- «... a Java-t a fekete kalapos hackerek késői választásává teszik» kellene «.. az utóbbi időben a Java-t rosszindulatú hackerek választásává teszik»
2.- A "szállító" angolul azt is jelenti, hogy "Szállító" ("Szállító"), így a "De a legtöbb Linux-gyártó ..." kifejezés minden probléma nélkül megmarad "De a legtöbb Linux-gyártó ..."
Üdvözlet
Nah semmiért 😀
Tényleg nem zavar, nem vagyok hivatásos fordító, még kevésbé LOL !!!
Most kijavítom 😉
Tényleg, nagyon köszönöm, az angol megértése nem nehéz nekem, ami nekem egy kicsit bonyolult, az az, hogy megírom és spanyolul rendelem meg 😀
Üdvözlet
????
Ugyanez történik velem a spanyolul is; A helyi kifejezéseket tartalmazó kifejezéseket nehezen értem meg. Bár ők már legalább néhányan még mindig megmenekülnek előlem.
A "fekete kalapos hacker" kifejezés a rosszindulatú hacker megjelölésére szolgál, és spanyolra fordítása bizonyára nagy gondot jelent.
Üdvözlet és erős ölelés
Nem tudom, de tudom, hogy a "tudatos" nem jelenik meg a RAE szótárban.
Vannak olyan Linux-gyártók is, mint Tito Mark és a csatlósai
Lássuk ... a laptopom Kínában készült, de a MINŐSÉG-vezérlés a HP B sorozatának felel meg, vagyis ... az alkatrészeket Kínában gyártják (olcsó munkaerő ...), de ki dönti el, hogy melyik alkatrész elég jó, az a gyártó 😉
"Az Oracle kínál egy automatikus frissítési funkciót a Java számára, de rendszergazdai jogosultságokra van szükség a számítógép felhasználói számára, amit a legtöbb vállalat nem engedélyez"
"Az a tendencia tapasztalható, hogy nincsenek jó folyamatok a Java javításához."
Tehát nem a Java a probléma, hanem az, hogy a felhasználóknak nincs szokása frissíteni, igaz?
Őszintén szólva a java problémája annyira biztonság, ha összehasonlítjuk a flash-szel, akkor 20-szor biztonságosabb a java, a probléma az, hogy ez egy olyan nyelv, amely bejár. szexi tanulni, de ez egy rémálom LOL!
Azt akartam mondani, hogy * nem annyira biztonság *
Sokszor nekünk sem adatik meg a lehetőség, az Oracle a korlátozásaival.
A magam részéről az OpenJDK-t használom, és egyelőre nincs panasz 🙂
Megpróbáltam a Debian Squeeze-ben eltávolítani a sun-java-t, és visszatérni az alapértelmezettekre, és… végül is kiléptem.
az az igazság, hogy a java jó alternatíva volt régen, most csak sok probléma van 🙁
Az egyik mexikói függőség a SAT és az IMSS, amelyek biztosítják, hogy 3 évnél régebbi, nagyon régi verziókat kell használni, mert ha nem tudsz belépni a portáljaikba.
Többnyire adminisztratív felhasználókkal dolgozom, és soha nem frissítenek semmit, sok java programot használnak kormányzati programokhoz, amelyekhez szükségszerűen bizonyos verziókra van szükség, amelyek nagy sebezhetőségeket tartalmaznak. Ez is olyan téma, amelyet az olyan intézményeknek, mint a mexikói IMSS és a SAT, komolyabban kell venniük, és őrizze meg alkalmazásait, és ne terjesszen tovább ilyen problémákkal 2004-ben vagy korábban létrehozott szoftvert
Nos, a sun-java-t már régóta használom, és az az igazság, hogy nincs panaszom olyan eredmények elérésére, amelyeket mindig is szerettem volna, sőt, kissé túllépve a hagyományosnál. Az openjdk fejlesztéshez nem ajánlom bárkinek, bár feltételezem, hogy ez az én kritériumom. Egészségére