Eu encontrei um artigo bastante interessante, a fonte é darkreading. com e o autor é Kelly Jackson Higgins. Deixo a tradução disso:
O lado negro de Java
Metasploit adiciona um novo módulo para os ataques Java mais recentes quando o Java se torna o novo alvo favorito dos cibercriminosos
01 de dezembro de 2011 | 08h08
Por Kelly Jackson Higgins
Leitura escura
É uma ferramenta decadente por parte dos desenvolvedores, mas Java continua sendo uma presença de computador primária e frequentemente esquecida que é cada vez mais visada por vilões.
Por que Java como vetor de ataque?
Sua capacidade de penetração e o número excessivo de versões desatualizadas em execução nos computadores estão tornando o Java o chapéu preto preferido dos hackers ultimamente. Os números dizem tudo: cerca de 80 sistemas corporativos executam versões desatualizadas e sem patch do Java, de acordo com dados da Qualys. E desde o terceiro trimestre de 2010, a Microsoft detectou ou bloqueou aproximadamente 6.9 milhões de tentativas de exploit Java a cada trimestre, com um total de 27.5 milhões de tentativas de exploit durante aquele período de 12 meses.
No geral, 3 bilhões de dispositivos usam Java no mundo, e 80% dos navegadores usam. Enquanto isso, alguns usuários muito experientes em segurança estão desabilitando ou desinstalando-o inteiramente por precaução.
Os desenvolvedores da ferramenta de teste de penetração de software livre Matasploit amplamente popular nesta semana adicionaram um novo módulo para o último ataque Java que abusa de uma vulnerabilidade corrigida recentemente na implementação Java da Oracle, Rhino. A falha no Oracle Java SE JDK e JRE 7 e 6 atualização 27 e versões anteriores, que foi inicialmente anunciada por pesquisadores clique aqui y clique aqui e rapidamente se tornou realidade em um kit de crimeware underground, como o blogueiro Brian Krebs descobriu em Seu site. Krebs On Security relatou que o ataque também estava sendo executado dentro do kit de crimeware BlackHole.
«Java está onde quiser e ninguém o atualiza adequadamente«Diz HD Moore, criador e arquiteto-chefe da Metasploit e CSO da Rapid7. «Muito poucas empresas o atualizam em seus computadores.»
“A Oracle oferece um recurso de atualização automática para Java, mas requer privilégios administrativos para o usuário do computador usá-lo, algo que a maioria das empresas não permite"Diz Moore.
O diretor de Trusted Computing da Microsoft, Tim Rains, apontou no início desta semana em um post que bugs corrigidos no software Java da Oracle estão sob cerco há meses. «Vulnerabilidades no software Java da Oracle estão sob ataque em uma escala relativamente grande há vários meses e, como mencionei, as atualizações de segurança para essas vulnerabilidades estão disponíveis há algum tempo.»Diz Chuvas. «Se você não atualizou o Java em seu ambiente recentemente, deve avaliar os riscos presentes. Entre outras coisas, as organizações precisam estar cientes de que podem ter várias versões do Java em execução.Ele diz.
A falha do Java da Oracle, corrigida pela Oracle no mês passado, basicamente permite que um miniaplicativo Java execute código arbitrário fora da sandbox do Java. Moore, da Rapid7, afirma que o chamado Java Rhino Exploit (que funciona em várias plataformas, incluindo Windows, iOS e Linux) ocorre em segundo plano, inconsciente para o usuário atingido pelo exploit. Curiosamente, o Linux agora está mais vulnerável a ataques. «A Oracle o corrigiu, a Apple exigiu uma atualização de software. Mas a maior parte do Vendedores Provedores Linux ?? não requer atualizações"Diz Moore.
Isso normalmente é usado como um primeiro estágio em um ataque de vários estágios, usado para baixar um arquivo executável ou para instalar um bot.
Wolfgang Kandek, CTO da Qualyx, diz que o tenier Metasploit que dá suporte ao exploit mais recente ajudaria a aumentar a conscientização sobre o perigo de aplicativos Java desatualizados. «Os benefícios de tê-lo no Metasploit é que os caras legais podem demonstrar como esse [ataque] funciona", ele diz.
Muitas das organizações encontradas executando aplicativos Java desatualizados nos dados de clientes da Qualys eram grandes empresas, diz ele. «Há uma tendência de não haver bons processos para aplicar patches em Java. Ele voa sob o radarEle diz.
---- E aqui termina o artigo.
Sem dúvida, isso tem muito a ver com o que mencionamos antes ... ou seja, sobre o que A Canonical deixará de oferecer Java da Oracle em seus repositórios (Ubuntu, Kubuntu, Xubuntu, etc), bem, obviamente, sim Oracle não permite que atualizações sejam incluídas, não vale a pena, pois o usuário estaria muito vulnerável a ataques como os mencionados acima.
Enfim, o que você acha disso? 😉
lembranças
PD: Ontem eu estava lendo um tutorial sobre como é possível instalar Linux no meu Nokia N70, ainda não decidi fazer isso LOL !!!
Eu uso o IcedTea (OpenJDK, gratuito) há muito tempo e quase sempre o desabilito porque quase não o uso ...
Tenho pouco, cerca de 3 meses usando OpenJDK, não sabia exatamente a falha de segurança do java, mudei só para ver como funcionava o libreoffice 😛
Eu sei que isso é quase offtopic, mas ... Linux no Nokia? Como? Se eu puder tirar o symbian m___ do meu 5800, ficaria muito satisfeito!
Você sabia que Symbian é primo-irmão do Linux? 😀
De qualquer forma, ainda não leio informações suficientes sobre o Linux na Nokia ... não se preocupe, quando eu encontrar alguma informação decente, darei os links 😉
KZKG ^ Gaara ... não se preocupe comigo mas ... existem alguns erros na tradução, por exemplo:
1 .- «… estão fazendo do Java a escolha dos hackers de chapéu preto ultimamente» deveria ser «.. ultimamente eles fazem do Java a escolha dos hackers maliciosos»
2.- "Fornecedor" em Inglês também significa "Fornecedor" ("Fornecedor"), portanto a frase "Mas a maioria dos fornecedores Linux ..." permanece sem nenhum problema "Mas a maioria dos fornecedores Linux ..."
lembranças
Nah por nada 😀
Realmente não me incomoda, não sou tradutor profissional, muito menos rsrsrs !!!
Eu conserto agora 😉
Realmente, muito obrigado, entender inglês não é difícil para mim, o que é um pouco complexo para mim é escrever e pedir em espanhol 😀
lembranças
🙂
A mesma coisa acontece comigo com o espanhol; As frases que contêm expressões locais são difíceis de entender. Embora sejam pelo menos alguns ainda me escapam.
"Hacker de chapéu preto" é uma expressão usada para designar o hacker malicioso e certamente é complicado traduzi-la para o espanhol.
Saudações e um forte abraço
Não sei, mas estou ciente de que "consciente" não aparece no dicionário RAE.
Também temos fornecedores de Linux como Tito Mark e seus capangas
Vamos ver ... meu laptop é feito na China, mas o controle de QUALIDADE é da série B da HP, ou seja ... os componentes são fabricados na China (mão de obra barata ...) mas quem decide quais componentes são bons o suficiente é o fabricante 😉
"A Oracle oferece um recurso de atualização automática para Java, mas requer privilégios administrativos para o usuário do computador usá-lo, algo que a maioria das empresas não permite"
"Existe uma tendência de não haver bons processos para aplicar patches em Java."
Então o problema não é o Java, mas os usuários não têm o hábito de atualizá-lo, certo?
Sinceramente, o problema com o java é tanta segurança, se compararmos com o flash é java 20 vezes mais seguro, o problema é que é uma linguagem que rastreia. é sexy aprender, mas é um pesadelo LOL!
Eu queria dizer * não tão seguro *
Muitas vezes também não nos é dada a possibilidade, a Oracle com suas restrições.
De minha parte, estou usando OpenJDK e até agora não tenho reclamações 🙂
Tentei no Debian Squeeze desinstalar o sun-java e voltar para os padrões, e um… isso no final desisti.
a verdade é que java era uma boa alternativa há muito tempo, agora é apenas um monte de problemas 🙁
Uma das dependências no México é SAT e IMSS, o que garante que você terá que usar versões muito antigas de mais de 3 anos porque se não pode entrar em seus portais.
Eu trabalho principalmente com usuários administrativos e eles nunca atualizam nada e usam java para muitos programas governamentais e que necessariamente requerem certas versões que incluem grandes vulnerabilidades, este também é um assunto que instituições como o IMSS e o SAT no México deveriam levar mais a sério e mantenha seus aplicativos e não distribua mais software criado em 2004 ou antes com esses problemas
Bom, já uso o sun-java há bastante tempo e a verdade é que não tenho queixas de conseguir os resultados que sempre quis e até indo um pouco além do convencional. O openjdk para desenvolvimento não é algo que eu recomendaria a ninguém, embora suponha que seja esse o meu critério. Felicidades