Jeg har funnet en ganske interessant artikkel, kilden er darkreading.com og forfatteren er Kelly Jackson Higgins. Jeg legger igjen oversettelsen av den:
Den mørke siden av Java
Metasploit legger til ny modul for de siste Java-angrepene når Java blir det nye favorittmålet for nettkriminelle
01 des 2011 | 08:08
Av Kelly Jackson Higgins
Mørk lesning
Det er et dekadent verktøy fra utvikleres side, men Java det forblir en primær og fortsatt ofte glemt tilstedeværelse på datamaskiner som stadig blir målrettet av skurker.
Hvorfor Java som angrepsvektor?
Dens gjennomtrengelighet og det overdrevne antallet utdaterte versjoner som kjører der ute på datamaskiner, gjør Java til den svarte hatten for hackere i det siste. Tallene sier alt: Om lag 80 bedriftssystemer kjører utdaterte, ikke-pakkeversjoner av Java, ifølge Qualys-data. Og siden tredje kvartal 2010 har Microsoft oppdaget eller blokkert omtrent 6.9 millioner Java-utnyttelsesforsøk hvert kvartal, med totalt 27.5 millioner utnyttelsesforsøk i løpet av den 12-månedersperioden.
Totalt sett bruker 3 milliarder enheter Java i verden, og 80% av nettleserne gjør det. I mellomtiden deaktiverer eller avinstallerer noen veldig sikkerhetsvitende brukere det som en forholdsregel.
Utviklere av det allment populære open source Matasploit penetrasjonstestverktøyet denne uken la til en ny modul for det siste Java-angrepet som misbruker en nylig oppdaterte sårbarhet i Oracles Java-implementering, Rhino. Feilen i Oracle Java SE JDK og JRE 7 og 6 oppdaterer 27 og tidligere versjoner, som opprinnelig ble kunngjort av forskere her y her og ble raskt oppfylt i et hemmelig crimeware-sett, som blogger Brian Krebs oppdaget i nettstedet ditt. Krebs On Security rapporterte at angrepet også ble kjørt i BlackHole crimeware-settet.
«Java er hvor det vil, og ingen oppdaterer det ordentlig«Sier HD Moore, skaper og sjefarkitekt for Metasploit og CSO på Rapid7. «Svært få selskaper oppdaterer det på datamaskinene sine.»
"Oracle tilbyr en automatisk oppdateringsfunksjon for Java, men det krever administrative rettigheter for datamaskinbrukeren å bruke den, noe de fleste selskaper ikke tillater"Sier Moore.
Microsofts direktør for Trusted Computing, Tim Rains, påpekte tidligere i uken i et innlegg at lappede feil i Oracles Java-programvare har vært beleiret i flere måneder. «Sårbarheter i Oracles Java-programvare har vært under angrep i relativt stor skala i flere måneder nå, og som jeg nevnte, har sikkerhetsoppdateringer for disse sårbarhetene vært tilgjengelige i noen tid.»Sier Rains. «Hvis du ikke har oppdatert Java i miljøet ditt nylig, bør du vurdere risikoen. Blant annet må organisasjoner være klar over at de kan ha flere versjoner av Java i gang.", Han sier.
Oracle's Java-feil, som ble patchet av Oracle i forrige måned, lar i utgangspunktet en Java-applet kjøre vilkårlig kode utenfor Java-sandkassen. Rapid7s Moore sier at den såkalte Java Rhino Exploit (som fungerer på flere plattformer, inkludert Windows, iOS og Linux) forekommer i bakgrunnen, bevisstløs for brukeren som ble truffet av utnyttelsen. Interessant, Linux er nå mer sårbart for angrep. «Oracle lappet det, Apple krevde en programvareoppdatering. Men det meste av selgere Linux-leverandører ?? har ikke krevd oppdateringer"Sier Moore.
Dette brukes vanligvis som et første trinn i et flertrinnsangrep, brukt til å laste ned en kjørbar fil eller ved å installere en bot.
Wolfgang Kandek, CTO i Qualyx, sier at tenier Metasploit som støtter den siste utnyttelsen, vil bidra til å øke bevisstheten om faren ved utdaterte Java-apper. «Fordelene med å ha det på Metasploit er at de hyggelige gutta kan demonstrere hvordan dette [angrepet] fungerer", han sier.
Mange av organisasjonene fant kjørende utdaterte Java-apper på Qualys kundedata var store selskaper, sier han. «Det er en tendens til ikke å ha gode prosesser for å lappe Java. Han flyr under radaren", Han sier.
---- Og her slutter artikkelen.
Utvilsomt har dette mye å gjøre med det vi nevnte før ... det vil si angående hva Canonical slutter å tilby Java fra Oracle i sine repositorier (Ubuntu, Kubuntu, Xubuntu, etc), vel åpenbart, ja Oracle tillater ikke oppdateringer å inkluderes, det er ikke verdt det, ettersom brukeren ville være for sårbar for angrep som de som er nevnt ovenfor.
Uansett, hva synes du om det? 😉
Hilsen
PD: Bare i går leste jeg en veiledning om hvordan det er mulig å installere Linux på Nokia N70, jeg har fortsatt ikke bestemt meg for å gjøre det LOL !!!
Jeg har brukt IcedTea (OpenJDK, gratis) i lang tid og har det nesten alltid deaktivert fordi jeg nesten ikke bruker det ...
Jeg har lite, omtrent 3 måneder ved å bruke OpenJDK, jeg visste ikke nøyaktig sikkerhetsfeilen i java, jeg endret den bare for å se hvordan libreoffice fungerte 😛
Jeg vet at dette er nesten offtopic, men ... Linux på Nokia? Som? Hvis jeg kan ta symbian m___ ut av 5800, ville jeg glede meg!
Visste du at Symbian er Linuxs fetter? 😀
Uansett, jeg leser fortsatt ikke nok informasjon om denne Linux på Nokia ... ikke bekymre deg, når jeg finner anstendig informasjon, gir jeg deg lenkene 😉
KZKG ^ Gaara ... ikke bry meg, men ... det er noen feil i oversettelsen, for eksempel:
1.- «… gjør Java til den sorte hatthackerens valg av sent» burde være «.. i det siste gjør de Java til valget av ondsinnede hackere»
2.- "Leverandør" på engelsk betyr også "Leverandør" ("Leverandør"), så uttrykket "Men de fleste Linux-leverandører ..." forblir uten problemer "Men de fleste Linux-leverandører ..."
Hilsen
Nei for ingenting 😀
Det plager meg virkelig ikke, jeg er ikke en profesjonell oversetter, langt mindre LOL !!!
Jeg fikser det akkurat nå 😉
Virkelig, tusen takk, å forstå engelsk er ikke vanskelig for meg, det som er litt komplisert for meg er å skrive det og bestille det på spansk 😀
Hilsen
????
Det samme skjer med spansk; Setninger som inneholder lokale uttrykk er vanskelig for meg å forstå. Selv om de allerede er i det minste, unnslipper jeg fremdeles noen.
"Black hatthacker" er et uttrykk som brukes til å betegne den ondsinnede hackeren, og det er absolutt oppstyr å oversette det til spansk.
Hilsen og en sterk klem
Jeg vet ikke, men jeg er klar over at "bevisst" ikke vises i RAE-ordboken.
Vi har også Linux-leverandører som Tito Mark og hans håndlangere
La oss se ... den bærbare datamaskinen min er produsert i Kina, men KVALITETskontrollen er HPs B-serie, det vil si ... komponentene er produsert i Kina (billig arbeidskraft ...) men hvem som bestemmer hvilke komponenter som er gode nok er produsenten 😉
"Oracle tilbyr en automatisk oppdateringsfunksjon for Java, men det krever administrative rettigheter for datamaskinbrukeren å bruke den, noe de fleste selskaper ikke tillater."
"Det er en tendens til ikke å ha gode prosesser for å lappe Java."
Så problemet er ikke Java, men at brukere ikke har for vane å oppdatere det, er det?
Helt ærlig er problemet med java så sikker, hvis vi sammenligner det med flash java er 20 ganger sikrere, er problemet at det er et språk som kryper. det er sexy å lære, men det er et mareritt LOL!
Jeg ville si * ikke så sikker *
Mange ganger får vi heller ikke muligheten, Oracle med sine begrensninger.
For min del bruker jeg OpenJDK, og foreløpig ingen klager 🙂
Jeg prøvde i Debian Squeeze å avinstallere sun-java og gå tilbake til standardene, og en ... som til slutt slutter jeg.
sannheten er at java var et godt alternativ for lenge siden nå er det bare mange problemer 🙁
En av avhengighetene i Mexico er SAT og IMSS, som sørger for at du må bruke veldig gamle versjoner på mer enn 3 år, for hvis du ikke kan gå inn i portaler.
Jeg jobber mest med administrative brukere, og de oppdaterer aldri noe, og de bruker java til mange offentlige programmer som nødvendigvis krever visse versjoner som inkluderer store sårbarheter. Dette er også et emne som institusjoner som IMSS og SAT i Mexico bør ta mer seriøst og beholde applikasjonene dine og ikke lenger distribuere programvare opprettet i 2004 eller tidligere med slike problemer
Vel, jeg har brukt sun-java i ganske lang tid, og sannheten er at jeg ikke har noen klager på å få de resultatene jeg alltid har ønsket, og til og med gå litt utover det konvensjonelle. Openjdk for utvikling er ikke noe jeg vil anbefale til noen, selv om jeg antar at det er kriteriene mine. Jubel