Saya telah menemui artikel yang cukup menarik, sumbernya darkreading.com dan pengarangnya adalah Kelly Jackson Higgins. Saya meninggalkan terjemahannya:
Bahagian Gelap Jawa
Metasploit menambah modul baru untuk serangan Java terbaru ketika Java menjadi sasaran kegemaran penjenayah siber baru
01 Dis 2011 | 08:08 PTG
Oleh Kelly Jackson Higgins
Bacaan gelap
Ini adalah alat dekaden dari pihak pemaju, tetapi Java ia tetap menjadi kehadiran utama dan sering dilupakan di komputer yang semakin menjadi sasaran penjahat.
Mengapa Java sebagai vektor serangan?
Penembusannya dan jumlah versi ketinggalan zaman yang sudah ada di komputer menjadikan Java sebagai topi hitam pilihan penggodam kebelakangan ini. Angka itu menyebutkan semuanya: Kira-kira 80 sistem perusahaan menggunakan versi Java yang usang dan tidak sesuai, menurut data Qualys. Dan sejak suku ketiga tahun 2010, Microsoft telah mengesan atau menyekat kira-kira 6.9 juta percubaan eksploitasi Java setiap suku tahun, dengan total 27.5 juta percubaan eksploitasi selama periode 12 bulan tersebut.
Secara keseluruhan, 3 bilion peranti menggunakan Java di dunia, dan 80% penyemak imbas menggunakan. Sementara itu, beberapa pengguna yang sangat memahami keselamatan melumpuhkan atau menyahpasangnya sepenuhnya sebagai langkah berjaga-jaga.
Pembangun alat ujian penembusan Matasploit sumber terbuka yang popular minggu ini menambah modul baru untuk serangan Java terbaru yang menyalahgunakan kerentanan yang baru-baru ini ditambak dalam pelaksanaan Java Oracle, Rhino. Kekurangan dalam Oracle Java SE JDK dan JRE 7 dan 6 mengemas kini versi 27 dan sebelumnya, yang pada mulanya diumumkan oleh penyelidik di sini y di sini dan kemudian dengan cepat membuahkan hasil dalam kit kelengkapan rahsia, seperti yang dijumpai oleh blogger Brian Krebs laman web anda. Krebs On Security melaporkan bahawa serangan itu juga dilakukan dalam kit perisian hitam BlackHole.
«Java berada di mana sahaja ia mahu, dan tidak ada yang mengemas kini dengan betul«Kata HD Moore, pencipta dan ketua arkitek untuk Metasploit dan CSO di Rapid7. «Sangat sedikit syarikat yang mengemas kini pada komputer mereka.»
"Oracle memang menawarkan ciri kemas kini automatik untuk Java, tetapi ia memerlukan hak pentadbiran untuk pengguna komputer menggunakannya, sesuatu yang tidak dibenarkan oleh kebanyakan syarikat"Kata Moore.
Pengarah Microsoft Trusted Computing, Tim Rains, awal minggu ini menunjukkan dalam sebuah posting bahawa bug yang ditambal dalam perisian Java Oracle telah dikepung selama berbulan-bulan. «Kerentanan dalam perisian Java Oracle telah diserang dalam skala yang cukup besar selama beberapa bulan dan, seperti yang saya sebutkan, kemas kini keselamatan untuk kerentanan ini telah tersedia selama beberapa waktu.»Kata Hujan. «Sekiranya anda belum mengemas kini Java di persekitaran anda baru-baru ini, anda harus menilai risiko yang ada. Antara lain, organisasi perlu sedar bahawa mereka boleh menjalankan pelbagai versi Java.", Dia cakap.
Kekurangan Java Oracle, yang ditambal oleh Oracle bulan lalu, pada dasarnya memungkinkan applet Java menjalankan kod sewenang-wenang di luar kotak pasir Java. Rapid7's Moore mengatakan bahawa apa yang disebut Java Rhino Exploit (yang berfungsi pada pelbagai platform, termasuk Windows, iOS, dan Linux) berlaku di latar belakang, tanpa disedari oleh pengguna yang dilanda eksploitasi. Menariknya, Linux sekarang lebih mudah diserang. «Oracle memperbaikinya, Apple menuntut kemas kini perisian. Tetapi sebahagian besar penjual Penyedia Linux ?? belum memerlukan kemas kini"Kata Moore.
Ini biasanya digunakan sebagai tahap pertama dalam serangan multi-tahap, digunakan untuk memuat turun file yang dapat dieksekusi atau dengan memasang bot.
Wolfgang Kandek, CTO Qualyx, mengatakan Metasploit tenier yang menyokong eksploitasi terbaru akan membantu meningkatkan kesadaran tentang bahaya aplikasi Java yang sudah usang. «Manfaat memilikinya di Metasploit adalah bahawa lelaki baik dapat menunjukkan bagaimana [serangan] ini berfungsi", dia cakap.
Banyak organisasi yang mendapati menjalankan aplikasi Java yang sudah lapuk pada data pelanggan Qualys adalah syarikat besar, katanya. «Ada kecenderungan untuk tidak memiliki proses yang baik untuk menambal Java. Dia terbang di bawah radar", Dia cakap.
---- Dan di sini artikel itu berakhir.
Tanpa keraguan, ini ada kaitannya dengan apa yang telah kita sebutkan sebelumnya ... iaitu mengenai apa Canonical akan berhenti menawarkan Java dari Oracle di repositorinya (Ubuntu, Kubuntu, Xubuntu, dll), jelas sekali, ya Oracle tidak membenarkan kemas kini disertakan, tidak berbaloi, kerana pengguna akan terlalu rentan terhadap serangan seperti yang disebutkan di atas.
Bagaimanapun, apa pendapat anda mengenainya? 😉
salam
P.S: Baru semalam saya membaca tutorial bagaimana memasang Linux pada Nokia N70 saya, saya masih belum memutuskan untuk melakukannya LOL !!!
Saya telah lama menggunakan IcedTea (OpenJDK, percuma) dan hampir selalu dinyahaktifkan kerana saya hampir tidak menggunakannya ...
Saya mempunyai sedikit, kira-kira 3 bulan menggunakan OpenJDK, saya tidak tahu dengan tepat kelemahan keselamatan di java, saya mengubahnya hanya untuk melihat bagaimana kerja libreoffice 😛
Saya tahu ini hampir offtopik tetapi ... Linux di Nokia? Seperti? Sekiranya saya dapat mengambil m___ symbian dari 5800 saya, saya pasti gembira!
Adakah anda tahu bahawa Symbian adalah sepupu pertama Linux? 😀
Bagaimanapun, saya masih belum membaca cukup banyak maklumat mengenai Linux ini di Nokia ... jangan risau, apabila saya mendapat maklumat yang cukup baik, saya akan memberikan pautan kepada anda
KZKG ^ Gaara ... jangan repot-repot dengan saya tetapi ... ada beberapa kesalahan dalam terjemahan, contohnya:
1 .- «… menjadikan Java sebagai pilihan penggodam topi hitam akhir-akhir ini» semestinya «.. akhir-akhir ini mereka menjadikan Java sebagai pilihan penggodam jahat»
2.- "Vendor" dalam bahasa Inggeris juga bermaksud "Pembekal" ("Pembekal") jadi ungkapan "Tetapi kebanyakan vendor Linux ..." tetap tanpa masalah "Tetapi kebanyakan vendor Linux ..."
salam
Nah untuk apa-apa 😀
Ini sebenarnya tidak mengganggu saya, saya bukan penterjemah profesional, lebih kurang LOL !!!
Saya betulkan sekarang 😉
Sungguh, terima kasih banyak, memahami bahasa Inggeris tidak sukar bagi saya, yang agak rumit bagi saya ialah menulisnya dan memesannya dalam bahasa Sepanyol 😀
salam
(I.e.
Perkara yang sama berlaku kepada saya dengan bahasa Sepanyol; Frasa yang mengandungi ungkapan tempatan sukar untuk saya fahami. Walaupun mereka sekurang-kurangnya masih melarikan diri dari saya.
"Penggodam topi hitam" adalah ungkapan yang digunakan untuk menetapkan penggodam yang berniat jahat dan tentunya menjadi ribut untuk menerjemahkannya ke dalam bahasa Sepanyol.
Salam dan pelukan yang kuat
Saya tidak tahu tetapi saya sedar bahawa "sedar" tidak terdapat dalam kamus RAE.
Kami juga mempunyai vendor Linux seperti Tito Mark dan anak buahnya
Mari lihat ... komputer riba saya Dibuat di China, tetapi kawalan KUALITI adalah siri B HP, iaitu ... komponennya dihasilkan di China (tenaga kerja murah ...) tetapi siapa yang memutuskan komponen mana yang cukup baik adalah pengeluarnya 😉
"Oracle memang menawarkan fungsi pembaruan automatik untuk Java, tetapi ia memerlukan hak pentadbiran untuk pengguna komputer menggunakannya, sesuatu yang tidak dibenarkan oleh kebanyakan syarikat"
"Ada kecenderungan untuk tidak memiliki proses yang baik untuk menambal Java."
Jadi masalahnya bukan Java tetapi pengguna tidak memiliki kebiasaan memperbaruinya, bukan?
Sejujurnya masalah dengan java adalah keselamatan, jika kita membandingkannya dengan flash java adalah 20 kali lebih selamat, masalahnya adalah bahasa yang merangkak. ia seksi untuk belajar tetapi ia adalah mimpi buruk LOL!
Saya ingin mengatakan * tidak begitu selamat *
Sering kali kita tidak diberi kemungkinan, Oracle dengan sekatannya.
Bagi saya, saya menggunakan OpenJDK, dan setakat ini tidak ada aduan 🙂
Saya cuba dalam Debian Squeeze untuk menyahpasang sun-java dan kembali ke yang lalai, dan ... yang akhirnya saya berhenti.
kebenarannya adalah bahawa java adalah alternatif yang baik suatu ketika dahulu tetapi ia hanya mempunyai banyak masalah 🙁
Salah satu kebergantungan di Mexico adalah SAT dan IMSS, yang memastikan anda harus menggunakan versi lama lebih dari 3 tahun, kerana jika anda tidak dapat memasuki portal mereka.
Saya bekerja terutamanya dengan pengguna pentadbiran dan mereka tidak pernah mengemas kini apa-apa dan mereka menggunakan java untuk banyak program kerajaan dan yang semestinya memerlukan versi tertentu yang merangkumi kerentanan besar, ini juga merupakan subjek yang perlu diberi perhatian lebih serius oleh institusi seperti IMSS dan SAT di Mexico dan simpan aplikasi anda dan jangan lagi mengedarkan perisian yang dibuat pada tahun 2004 atau sebelumnya dengan masalah seperti itu
Baiklah, saya telah menggunakan sun-java untuk beberapa waktu dan sebenarnya saya tidak mempunyai aduan untuk mendapatkan hasil yang selalu saya mahukan dan bahkan melampaui sedikit yang biasa. Openjdk untuk pembangunan bukanlah sesuatu yang saya cadangkan kepada sesiapa walaupun saya rasa itu adalah kriteria saya. Sorakan