Déi däischter Säit vu Java

Ech hunn e ganz interessanten Artikel fonnt, d'Quell ass DarkReading.com an den Auteur ass Kelly Jackson Higgins. Ech loossen d'Iwwersetzung dovun:

Déi Däischter Säit vu Java

Metasploit füügt e neie Modul fir déi lescht Java Attacken bäi wann Java zum neie Liiblingsziel vu Cybercriminals gëtt

01. Dezember 2011 | 08:08 Auer
Vum Kelly Jackson Higgins
Däischter Liesung
Et ass en dekadent Instrument vun den Entwéckler, awer Java et bleift eng primär an nach ëmmer dacks vergiess Computerpräsenz déi ëmmer méi vu Béiswänn gezielt gëtt.
Firwat Java als Ugrëffsvektor?

Seng Penetrabilitéit an déi iwwerdriwwe Zuel vun aktuell Versiounen, déi do op Computere lafen, maachen Java de schwaarzen Hutt vun der Wiel fir Hacker a leschter Zäit. D'Zuelen soen alles: Ongeféier 80 Enterprise Systeme lafen aktuell, net gepackt Versioune vu Java, no Qualys Daten. An zënter dem drëtten Trimester vum Joer 2010 huet Microsoft ongeféier 6.9 Milliounen Java Exploit Versich all Trimester detektéiert oder blockéiert, mat insgesamt 27.5 Milliounen Exploit Versich während där 12 Méint.
Insgesamt benotzen 3 Milliarde Geräter Java an der Welt, an 80% vun de Browser maachen. Mëttlerweil deaktivéieren oder deinstalléieren e puer ganz Sécherheetssécher Benotzer dat ganz aus Virsiicht.
D'Entwéckler vum wäit populäre Open Source Matasploit Penetratiounstestinstrument hunn dës Woch en neit Modul derbäigesat fir déi lescht Java Attack, déi eng kierzlech gefléckt Schwachstelle an der Oracle Java Implementatioun, Rhino, mëssbraucht. De Feeler am Oracle Java SE JDK a JRE 7 a 6 update 27 a fréiere Versiounen, déi am Ufank vun de Fuerscher ugekënnegt goufen hei y hei an duerno séier an e geheime Crimeware Kit, wéi de Blogger Brian Krebs am Är Websäit. Krebs On Security bericht datt d'Attack och am BlackHole Crimeware Kit leeft.
«Java ass wou et wëll, a keen aktualiséiert et richteg«Seet den HD Moore, Schëpfer a Chefarchitekt fir Metasploit an CSO bei Rapid7. «Ganz wéineg Firmen aktualiséieren et op hire Computeren.»
"Oracle bitt en Auto-Update Feature fir Java un, awer et erfuerdert administrativ Privilegie fir de Computer Benotzer fir se ze benotzen, eppes wat déi meescht Firmen net erlaben."Seet de Moore.

De Microsoft Direkter vum Trusted Computing, Tim Rains, huet fréier dës Woch an engem Post drop higewisen datt gefléckt Bugs an der Oracle's Java Software zënter Méint ënner Belagerung waren. «Schwachlëchkeeten an der Java Software vun Oracle sinn zënter e puer Méint a relativ grousser Skala attackéiert ginn, a wéi ech gesot hunn, Sécherheetsupdate fir dës Schwachlëchkeet ware scho méi laang verfügbar.»Seet Reen. «Wann Dir Java viru kuerzem net an Ärem Ëmfeld aktualiséiert hutt, sollt Dir déi present Risiken beurteelen. Ënner anerem mussen Organisatiounen sech bewosst sinn datt se verschidde Versioune vu Java lafe kënnen.", Hie seet.

Den Oracle Java Feeler, dee vum Oracle de leschte Mount gefléckt gouf, erlaabt am Fong e Java Applet fir arbiträre Code ausserhalb vun der Java Sandkëscht ze lafen. De Rapid7's Moore seet datt de sougenannte Java Rhino Exploit (deen op verschidde Plattformen funktionnéiert, och Windows, iOS a Linux) geschitt am Hannergrond, onbewosst dem Benotzer deen duerch den Exploit getraff gëtt. Interessanterweis ass Linux méi vulnérabel fir den Ament ze attackéieren. «Oracle huet et gefléckt, Apple huet e Softwareupdate gefuerdert. Awer déi meescht vun den Verkeefer Linux Händler ... hunn net Updates gefrot"Seet de Moore.
Dëst gëtt normalerweis als éischt Stuf an engem Multi-Stage Attack benotzt, benotzt fir eng ausführbar Datei erofzelueden oder andeems en Bot installéiert ass.
De Wolfgang Kandek, CTO vu Qualyx, seet de Tenier Metasploit deen de leschten Exploit ënnerstëtzt, géif hëllefen d'Sensibiliséierung iwwer d'Gefor vun aktuell Java Apps ze erhéijen. «D'Virdeeler dovun op Metasploit ze hunn ass datt déi léif Jongen demonstréiere wéi dësen [Attack] funktionnéiert", hie seet.
Vill vun den Organisatiounen déi aktuell Java Apps op Qualys Clientsdate lafen, ware grouss Firmen, seet hien. «Et ass eng Tendenz keng gutt Prozesser ze hunn fir Java ze flécken. Hie flitt ënner dem Radar", Hie seet.

------ An hei ass den Artikel eriwwer.

Ouni Zweifel huet dëst vill mat deem ze dinn, wat mir virdru gesot hunn ... dat ass, wat Canonical stoppt Java vun Oracle a senge Repositories ze bidden (Ubuntu, Kubuntu, Xubuntu, etc), gutt offensichtlech, jo entscheet erlaabt net Updates abegraff ze sinn, et ass et net wäert, well de Benotzer wier ze vulnérabel fir Attacken wéi déi hei uewen ernimmt.

Iwwerhaapt, wat mengt Dir dovun? 😉

Wat

PD: Just gëschter hunn ech en Tutorial gelies wéi et méiglech ass Linux op mengem Nokia N70 ze installéieren, ech hunn nach ëmmer net decidéiert et ze maachen LOL !!!


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

18 Kommentaren, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   invisible15 sot

    Ech benotzen IcedTea (OpenJDK, gratis) fir eng laang Zäit an ech hunn et bal ëmmer behënnert well ech kaum et benotzen ...

  2.   Alf sot

    Ech hu wéineg, ongeféier 3 Méint mat OpenJDK, ech wousst net genau de Sécherheetsfehler a Java, ech hunn et geännert just fir ze kucken wéi libreoffice funktionnéiert 😛

  3.   Erithrym sot

    Ech weess dat ass bal offtopesch awer ... Linux op Nokia? Wéi? Wann ech de symbian m___ aus mengem 5800 eraushuele kann, wier ech frou!

    1.    KZKG ^ Gaara sot

      Wousst Dir datt Symbian den éischte Koseng vu Linux ass? 😀
      Egal wéi, ech liesen ëmmer nach net genuch Informatioun iwwer dëse Linux op Nokia ... maach der keng Suergen, wann ech eng anstänneg Informatioun fannen, ginn ech Iech d'Links 😉

  4.   Tina Toledo sot

    KZKG ^ Gaara ... stéiert mech net mee ... et sinn e puer Feeler an der Iwwersetzung, zum Beispill:

    1 .- «… maache Java zum schwaarzen Hut Hacker säi Choix ze spéit» sollt sinn ".. zënter kuerzem maachen se Java de Choix vu béisaartegen Hacker»

    2.- «Verkeefer» op Englesch heescht och «Fournisseur» («Fournisseur») sou datt den Ausdrock «Awer déi meescht Linux Verkeefer ...» bleift ouni Problem «Awer déi meescht Linux Fournisseuren ...»

    Wat

    1.    KZKG ^ Gaara sot

      Nah fir näischt 😀
      Et stéiert mech wierklech net, ech si kee professionellen Iwwersetzer, vill manner LOL !!!
      Ech fixen et elo direkt 😉

      Wierklech, villmools Merci, Englesch ze verstoen ass net schwéier fir mech, wat e bësse komplex fir mech ass et ze schreiwen an op Spuenesch ze bestellen 😀

      Wat

      1.    Tina Toledo sot

        🙂
        Datselwecht geschitt mir mat Spuenesch; Sätz mat lokalen Ausdréck si schwéier fir mech ze verstoen. Och wann se op d'mannst e puer sinn, flüchte mech nach ëmmer.
        "Black Hat Hacker" ass en Ausdrock deen benotzt gëtt fir de béiswännegen Hacker ze bezeechnen an et ass sécherlech e Fuss fir en op Spuenesch z'iwwersetzen.

        Gréiss an e staarken Ëmzuch

  5.   Courage sot

    Sidd Dir Iech bewosst wat Dir seet

    Ech weess et net awer ech sinn mech bewosst datt "bewosst" net am RAE Wierderbuch steet.

    Mir hunn och Linux Händler wéi Tito Mark a seng Handlanger

    1.    KZKG ^ Gaara sot

      Loosst eis kucken ... mäi Laptop ass a China gemaach, awer d'Qualitéitskontroll ass d'B-Serie vun HP, dat ass ... d'Komponente ginn a China hiergestallt (bëlleg Aarbecht ...) awer wien decidéiert wéi eng Komponente gutt genuch sinn ass den Hiersteller 😉

  6.   Tina Toledo sot

    "Oracle bitt eng automatesch Update-Funktioun fir Java un, awer et erfuerdert administrativ Privilegie fir de Computer Benotzer fir se ze benotzen, eppes wat déi meescht Firmen net erlaben"
    "Et gëtt eng Tendenz keng gutt Prozesser ze hunn fir Java ze flécken."

    Also de Problem ass net Java awer datt d'Benotzer net d'Gewunnecht hunn et ze aktualiséieren, ass et?

    1.    pandev92 sot

      Éierlech gesot de Problem mat Java ass sou Sécherheet, wa mir et mat Flash Java vergläichen 20 mol méi sécher ass, ass de Problem datt et eng Sprooch ass déi krabbelt. et ass sexy ze léieren awer et ass en Albtraum LOL!

      1.    pandev92 sot

        Ech wollt soen * net sou Sécherheet *

    2.    KZKG ^ Gaara sot

      Vill Mol kréie mir och net d'Méiglechkeet, Oracle mat senge Restriktiounen.
      Fir mäin Deel benotzen ech OpenJDK, a bis elo keng Reklamatiounen 🙂

  7.   Jose Miguel sot

    Ech hunn an Debian Squeeze probéiert d'Sonn-Java z'installéieren an zréck op déi Standard ze goen, an eng ... datt ech um Enn opgehalen hunn.

  8.   ubuntero sot

    d'Wourecht ass datt Java eng gutt Alternativ war viru laanger Zäit elo ass et just vill Probleemer 🙁

  9.   benybarba sot

    Eng vun den Ofhängegkeeten a Mexiko ass SAT an IMSS, wat garantéiert datt Dir ganz al Versioune vu méi wéi 3 Joer benotze musst, well wann Dir net an hir Portale kënnt.

  10.   Luis Armando Medina sot

    Ech schaffen meeschtens mat administrativen Benotzer a si aktualiséieren ni eppes a si benotze Java fir vill Regierungsprogrammer an déi onbedéngt verschidde Versioune brauchen, déi grouss Schwachlëchkeet enthalen, dëst ass och en Thema, datt Institutiounen wéi den IMSS an de SAT a Mexiko méi eescht solle huelen an haalt Är Uwendungen a verdeelt net méi Software erstallt 2004 oder fréier mat sou Probleemer

  11.   B sot

    Gutt, ech hu Sonn-Java fir eng laang Zäit benotzt an d'Wourecht ass datt ech keng Reklamatiounen hunn déi Resultater ze kréien déi ech ëmmer wollt hunn an och e bësse méi wäit wéi déi konventionell. Openjdk fir Entwécklung ass net eppes wat ech jidderengem géif empfeelen, och wann ech mengen datt dat meng Kritäre sinn. Prost