Questa settimana si è parlato molto di Java. All'inizio è stato discusso l'aggiornamento 7 della versione 10, che era molto vulnerabile. Era così vulnerabile e critico che molti consigliavano la disinstallazione completa di Java sui loro computer.
0 giorni Un attacco zero-day (in inglese zero-day attack o 0-day attack) è un attacco contro un'applicazione o un sistema che mira a eseguire codice dannoso grazie alla conoscenza di vulnerabilità che, in generale, sono sconosciute alle persone e al produttore del prodotto. Ciò presuppone che non siano stati ancora risolti. Questo tipo di sfruttare generalmente circola tra i ranghi dei potenziali aggressori fino a quando non viene finalmente pubblicato sui forum pubblici. Un attacco zero-day è considerato uno degli strumenti più pericolosi di a guerra informatica1
La vulnerabilità era piuttosto grave poiché permetteva l'esecuzione e l'installazione di Software sul sistema all'insaputa dell'utente, questo permetteva il furto di informazioni e di fare praticamente qualsiasi cosa.
Negli ultimi giorni i "geni" di Oracle hanno rilasciato la loro nuova versione con una presunta patch per lo 0-day chiamata Java 7 update 11.
Ma molti affermano che la vulnerabilità persiste. O meglio, non è stato completamente rattoppato. Secondo gli esperti, potrebbero volerci fino a 2 anni Oracle per risolvere completamente questa vulnerabilità.
Da Oracle ci offrono di andare al pannello di controllo Java e regolare il livello di sicurezza e impostarlo da medio ad alto e questo renderà più difficile eseguire codice dannoso senza il nostro consenso. Ma attenzione: "Renderà tutto più difficile" Non lo fermerà.
Personalmente dico che il tempo di Java è finito. Da quando leggo i blog, Java si è sempre dimostrato molto vulnerabile e la verità è che non scopro mai se ho Java installato o meno. Voglio dire, non noto la differenza. L'ho disinstallato personalmente molto tempo fa e la mia vita è rimasta la stessa. Più sicuro ovviamente 😀
Lo consiglierei se siete utenti desktop. Comune e selvaggio, non installare Java. Ne abbiamo abbastanza con Flash.
Non so perché ricevo un piccolo sorriso quando leggo questo. Forse sono io; D.
Siamo già due lol
Nemmeno openjdk?
Se fai homebanking o utilizzi siti complessi, è molto probabile che per utilizzarli sia necessario installare Java: Java RTE, non OpenJDK dove la maggior parte di questi siti non funziona.
Se msx ha ragione, anche nel mio caso ad esempio è necessario entrare nel sistema di voti e registrazione dei corsi della mia università. A proposito, non prenderla nel modo sbagliato, ma potresti inserire le fonti che affermano che la vulnerabilità continua ancora dopo l'aggiornamento? Sono interessato a saperne di più poiché l'uso di Java è un male necessario.
Sono sempre stato il più grande detrattore di Java da queste parti. La verità è che questi tipi di vulnerabilità critiche appaiono sempre in questo linguaggio e questo è uno dei tanti motivi per cui rifiuto l'uso di un prodotto di così scarsa qualità.
Dai, non ci vuole molto perché uno mi risponda dicendo che Java è questo, che Android è l'altro… per cagare Java.
Una piccola correzione: ciò che è insicuro non è il linguaggio (che con le sue classi e il camel case è orribile, sì) ma la macchina virtuale in cui Java viene compilato al volo.
Ovviamente sbaglio mio per non averlo specificato, a volte tendo a generalizzarlo molto.
Ma non mi piace tutto ciò che ha a che fare con Java.
Compreso l'orribile, lento, arcaico e doloroso motore Dalvik che utilizza Android.
Uffa, è bello trovare persone con un'opinione e senza paura di dire le cose per come sono.
Fortunatamente, il futuro è promettente con il gran numero di alternative che sono nella loro fase finale di maturazione: D: D
È ora di sostituire tutto Java con Python ... credo. Come ha detto l'autore, il tempo di Java è finito.
Totalmente d'accordo.
In questo se sono d'accordo che python non ha nemmeno bisogno di essere compilato, ma come faccio a scaricare senza jdownloader?, Tucan non funziona per me e ratfat peggio, chi consiglia un programma di download multiprotocollo dove funzionano i link depositfile?.
vomere
Spero che il mio capo non legga questo .. se non ho intenzione di vendere artigianato in piazza ...
Va bene con la notizia; comunque, nei siti in cui ho letto di questa vulnerabilità Java, avvertono solo gli utenti Windows e OS X, non ho visto alcuna menzione di GNU / Linux, in ogni caso, come per tutte le cose, il grado Il pericolo che rappresenta dipenderà dalle nostre abitudini di navigazione e sicurezza. D'altra parte, non mi è molto chiaro se disabilitare e / o disinstallare completamente Java, poiché non è utilizzato solo dai browser; se guardi da vicino, le suite LibreOffice e OpenOffice lo installano e lo usano di default, quindi non sono sicuro di quanto sarà efficace la "disinstallazione", se qualcuno ha un'idea più precisa della questione, mi piacerebbe spiegarlo in dettaglio.
Linux è vulnerabile:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
E sebbene tu riduca il rischio non visitando pagine di dubbia sicurezza, l'infezione può essere causata dal semplice fatto di visitare una pagina compromessa (il sito web della tua scuola, un negozio commerciale, ecc.).
Sebbene Linux sia più sicuro, non alimentare il mito che sia intoccabile.
Non è così.
GNU / Linux è sicuro, l'insicuro è Java.
Windows non è sicuro con o senza Java.
Se lasci un server SSH aperto sulla porta 22 con accesso root e senza password, entreranno logicamente come Pancho a casa.
Non è presente alcun feed FUD.
E aggiungo: il problema con Java sono i requisiti di basso livello della macchina virtuale, in questa nuova luce è evidente che:
La macchina virtuale necessita di un accesso di basso livello al sistema per funzionare, che di per sé è un errore di progettazione e un vettore di attacco poiché il sistema (GNU / Linux in questo caso) non ha modo di agire o difendersi poiché cede letteralmente il chiavi per Java.
Logicamente, se la macchina virtuale richiede l'accesso illimitato al sistema per funzionare, questo sarà il punto più debole del sistema stesso e la sicurezza generale del sistema sarà contrassegnata dalla sicurezza delle applicazioni che devono essere eseguite nello spazio del kernel o dell'utente spazio privilegiato.
Documentati, leggi, comprendi e, per favore, non diffondere FUD.
Per quanto ricordo o capisco, non è possibile che un'applicazione possa accedere a un livello di azione così basso nel kernel.
L'ho letto ma in questo momento non ricordo dove e la verità è che non ne so abbastanza per iniziare a discuterne ... Non sono così irresponsabile, ma volevo comunque commentarlo.
Ho libreoffice e non ho installato java.
Nel caso di Windows, interessa XP e 7. Windows 8 ed Explorer 10 senza problemi. Sul PC Linux l'ho già disabilitato nei browser, per ogni evenienza.
Bene, se usi Sun Java su Linux, l'aggiornamento richiede un po 'di tempo. Soprattutto se usi distribuzioni come Debian. Quindi di solito compila o installa il manuale .debs. Pertanto non si aggiornano da soli.
basta disabilitare i plugin, non è necessario disinstallarli
Qual è il punto di avere un plugin installato e disabilitarlo?
Quando il problema è stato risolto lo abiliti, immagino che verrà aggiornato con la patch.
che quando risolvono il problema e rilasciano una nuova versione li abiliti di nuovo, è lo stesso di Juan Carlos ad eccezione delle patch, poiché non importa quanto le rimuovano sembra che il problema persista
@ Charlie-Brown
Libreoffice installa openjdk, non installa java, non ci sono problemi, ora come dice msx, sì
Yupiiii, siamo sicuri.
Che ne dici di openjdk?
Sono un minecrafter .. Non sono disposto a rinunciare così facilmente 😛
Vedi chiarire una cosa per me, questo errore riguarda openjdk? perché da quello che so la maggior parte di linux usa openjdk, perché da quello che ho letto è un bug o un errore di Oracle java