W tym tygodniu dużo się mówiło o Javie. Najpierw dyskutowano o wersji 7, aktualizacji 10. Że była bardzo podatna na ataki. Było to tak podatne i krytyczne, że wielu zalecało całkowite odinstalowanie Javy na swoich komputerach.
0-dni Un atak zero-day (w języku angielskim atak typu zero-day lub 0-day attack) to atak na aplikację lub system, który ma na celu wykonanie złośliwego kodu dzięki znajomości luk, które na ogół są nieznane ludziom i producentowi produktu. Zakłada się, że nie zostały one jeszcze naprawione. Ten typ wykorzystać zazwyczaj krąży w szeregach potencjalnych napastników, dopóki nie zostanie ostatecznie opublikowana na forach publicznych. Atak zero-day jest uważany za jeden z najbardziej niebezpiecznych instrumentów wojna komputerowa1
Luka była dość poważna, ponieważ umożliwiała wykonanie i instalację oprogramowania w systemie bez wiedzy użytkownika, co pozwoliło na kradzież informacji i praktycznie wszystko.
W ostatnich dniach "geniusz" Oracle wypuścił nową wersję z rzekomą poprawką na dzień zerowy o nazwie Java 0 Update 7.
Jednak wielu twierdzi, że luka nadal występuje. A raczej nie został w pełni poprawiony. Według ekspertów pełne naprawienie tej luki może zająć firmie Oracle nawet 2 lata.
Oracle oferuje nam przejście do panelu sterowania Java i dostosowanie poziomu bezpieczeństwa oraz zmianę go ze średniego na wysoki, co utrudni wykonanie złośliwego kodu bez naszej zgody. Ale uwaga: „To utrudni”.
Osobiście mówię, że czas Java się skończył. Odkąd czytam blogi, Java zawsze była bardzo podatna na ataki i prawda jest taka, że nigdy nie dowiaduję się, czy mam zainstalowaną Javę, czy nie. To znaczy nie zauważam różnicy. Osobiście odinstalowałem go dawno temu i moje życie pozostaje takie samo. Oczywiście bezpieczniej 😀
Poleciłbym to, jeśli jesteś użytkownikiem komputera. Zwykłe i dzikie, nie instaluj Javy. Mamy dość Flasha.
Nie wiem, dlaczego widzę mały uśmiech, kiedy to czytam. Może to ja; D.
Mamy już dwa lol
Nawet nie openjdk?
Jeśli korzystasz z bankowości domowej lub korzystasz ze złożonych witryn, jest bardzo prawdopodobne, że musisz mieć zainstalowaną Javę, aby z nich korzystać - Java RTE, a nie OpenJDK, gdzie większość z tych witryn nie działa.
Jeśli msx ma rację, to również w moim przypadku np. Konieczne jest wejście do systemu ocen i rejestracji kursów mojej uczelni. Nawiasem mówiąc, nie zrozum to źle, ale czy możesz podać źródła, które twierdzą, że luka nadal występuje po aktualizacji? Chciałbym dowiedzieć się więcej, ponieważ używanie języka Java jest złem koniecznym.
Zawsze byłem największym przeciwnikiem Javy w tych częściach. Prawda jest taka, że tego typu krytyczne luki zawsze pojawiają się w tym języku i jest to jeden z wielu powodów, dla których odmawiam używania produktu o tak niskiej jakości.
Daj spokój, nie trzeba długo czekać, aż ktoś odpowie, że Java to ta, a Android to druga ... srać Javę.
Mała poprawka: to, co jest niepewne, to nie język (który z jego klasami i obudową wielbłąda jest okropny, tak), ale maszyna wirtualna, na której Java jest kompilowana w locie.
Oczywiście mój błąd polegający na nieokreśleniu tego, czasami często go generalizuję.
Ale nie podoba mi się wszystko, co ma związek z Javą.
W tym okropny, powolny, archaiczny i bolesny silnik dalvik, z którego korzysta Android.
Ugh, dobrze jest znaleźć ludzi z opinią i bez obawy, że będą mówić rzeczy takimi, jakimi są.
Na szczęście przyszłość zapowiada się obiecująco dzięki dużej liczbie alternatyw, które są w końcowej fazie dojrzewania: D: D
Czas zamienić całą Javę na Python ... Myślę. Jak powiedział autor, czas Javy się skończył.
Całkowicie się zgadzam.
W tym, że jeśli się zgadzam, python nawet nie musi być kompilowany, ale jak mogę pobrać bez jdownloadera?, Tucan nie działa dla mnie i gorzej ratfat, kto zaleca program do pobierania z wieloma protokołami, w którym działają linki do plików depozytowych?
lemiesz
Mam nadzieję, że mój szef tego nie czyta… jeśli nie zamierzam poświęcić się sprzedaży rękodzieła na rynku… hehehe
OK z wiadomościami; w każdym razie na stronach, na których czytałem o tej luce w Javie, ostrzegają tylko użytkowników Windows i OS X, nie widziałem żadnej wzmianki o GNU / Linuksie, w każdym razie, tak jak w przypadku wszystkich rzeczy, stopień niebezpieczeństwa, które stanowi zależy od naszych nawyków dotyczących przeglądania i bezpieczeństwa. Z drugiej strony nie mam jasności co do całkowitego wyłączania i / lub odinstalowywania Javy, ponieważ jest ona używana nie tylko przez przeglądarki; Jeśli przyjrzysz się uważnie, pakiety LibreOffice i OpenOffice instalują i używają go domyślnie, więc nie jestem bardzo pewien, jak skuteczna będzie "dezinstalacja", jeśli ktoś ma dokładniejsze pojęcie o sprawie, byłbym wdzięczny za wyjaśnienie szczegółowo.
Linux jest podatny na ataki:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
I chociaż zmniejszasz ryzyko, nie odwiedzając stron o wątpliwym bezpieczeństwie, infekcja może być spowodowana prostym faktem odwiedzenia zaatakowanej strony (witryna Twojej szkoły, sklep komercyjny itp.).
Chociaż Linux jest bezpieczniejszy, nie podsycaj mitu, że jest nietykalny.
Tak nie jest.
GNU / Linux jest bezpieczny, niebezpieczny jest Java.
Windows jest niezabezpieczony z Javą lub bez niej.
Jeśli zostawisz otwarty serwer SSH na porcie 22 z dostępem do roota i bez hasła, logicznie wejdą jako Pancho w domu.
Nie ma FUD paszy.
I dodaję: problemem z Javą są niskopoziomowe wymagania maszyny wirtualnej, w tym nowym świetle widać, że:
maszyna wirtualna potrzebuje dostępu niskiego poziomu do systemu, aby działać, co samo w sobie jest błędem projektowym i wektorem ataku, ponieważ system (w tym przypadku GNU / Linux) nie ma możliwości działania ani obrony, ponieważ dosłownie przekazuje klucze do języka Java.
Logicznie rzecz biorąc, jeśli maszyna wirtualna zażąda nieograniczonego dostępu do systemu, aby funkcjonować, będzie to najsłabszy punkt samego systemu, a ogólne bezpieczeństwo systemu będzie naznaczone bezpieczeństwem aplikacji, które muszą działać w przestrzeni jądra lub użytkownika przestrzeń uprzywilejowana.
Dokumentuj się, przeczytaj, zrozum i - proszę - nie rozpowszechniaj FUD.
O ile pamiętam lub rozumiem, nie ma możliwości, aby jakakolwiek aplikacja miała dostęp do tak niskiego poziomu akcji w jądrze.
Przeczytałem to, ale teraz nie pamiętam gdzie i prawda jest taka, że nie wiem też wystarczająco dużo, aby się o to spierać ... Nie jestem taki nieodpowiedzialny, ale i tak chciałem to skomentować.
Mam libreoffice i nie zainstalowałem javy.
W przypadku Windows działa bezproblemowo na XP i 7. Windows 8 i Explorer 10. Na komputerze z systemem Linux już to wyłączyłem w przeglądarkach, na wszelki wypadek.
Cóż, jeśli używasz Sun Java w systemie Linux, aktualizacja zajmuje trochę czasu. Zwłaszcza jeśli używasz dystrybucji takich jak Debian. Następnie zwykle kompilowany lub instalowany jest podręcznik .deb. Dlatego nie aktualizują się same.
po prostu wyłącz wtyczki, bez konieczności odinstalowywania
Jaki jest sens instalowania i wyłączania wtyczki?
Gdy problem zostanie rozwiązany, włącz go, wyobrażam sobie, że zostanie zaktualizowany wraz z łatką.
że kiedy rozwiązują problem i wypuszczają nową wersję, włączasz je ponownie, jest tak samo, jak mówi Juan Carlos, z wyjątkiem łatek, ponieważ bez względu na to, jak bardzo je usuwają, wydaje się, że problem nadal występuje
@ Charlie Brown
Libreoffice instaluje openjdk, nie instaluje javy, nie ma problemu, teraz jak mówi msx, tak
Yupiiii, jesteśmy pewni.
A co z openjdk?
Jestem minecrafter… Nie chcę się tak łatwo poddawać 😛
Zobacz wyjaśnij mi jedną rzecz, czy ten błąd wpływa na openjdk? bo z tego co wiem większość linuxów używa openjdk, bo z tego co wyczytałem to błąd oracle java error