Нашла довольно интересную статью, источник darkreading.com а автор Келли Джексон Хиггинс. Оставляю перевод:
Темная сторона Java
Metasploit добавляет новый модуль для последних атак Java, когда Java становится новой излюбленной целью киберпреступников.
01 декабря 2011 г. | 08:08 вечера
Келли Джексон Хиггинс
Темное Чтение
Со стороны разработчиков это декадентский инструмент, но Java это остается основным и все еще часто забываемым компьютерным присутствием, которое все чаще становится мишенью злодеев.
Почему Java как вектор атаки?
Его проницаемость и чрезмерное количество устаревших версий, установленных на компьютерах, в последнее время делают Java черной шляпой, которую выбирают хакеры. Цифры говорят сами за себя: согласно данным Qualys, около 80 корпоративных систем используют устаревшие версии Java без исправлений. А с третьего квартала 2010 года Microsoft обнаруживала или блокировала примерно 6.9 миллиона попыток использования Java-атак каждый квартал, при этом за этот 27.5-месячный период в общей сложности было 12 миллионов попыток использования уязвимостей.
В целом в мире 3 миллиарда устройств используют Java, и 80% браузеров. Между тем, некоторые очень опытные пользователи в качестве меры предосторожности отключают или полностью удаляют его.
Разработчики широко популярного инструмента тестирования на проникновение Matasploit с открытым исходным кодом на этой неделе добавили новый модуль для последней атаки Java, которая использует недавно исправленную уязвимость в реализации Java Oracle, Rhino. Недостаток в Oracle Java SE JDK и JRE 7 и 6 update 27 и более ранних версиях, о котором первоначально заявили исследователи. здесь y здесь а затем быстро воплотился в тайный комплект преступного ПО, как обнаружил блогер Брайан Кребс в ваш сайт. Krebs On Security сообщил, что атака также проводилась в комплекте с программным обеспечением BlackHole.
«Java везде, где хочет, и никто не обновляет ее должным образом«Говорит HD Мур, создатель и главный архитектор Metasploit и CSO в Rapid7. «Очень немногие компании обновляют его на своих компьютерах.»
«Oracle предлагает функцию автоматического обновления для Java, но для ее использования пользователю компьютера требуются административные права, что не разрешается большинством компаний."Говорит Мур.
Директор Microsoft по Trusted Computing Тим Рейнс ранее на этой неделе указал в своем сообщении, что исправленные ошибки в программном обеспечении Oracle Java уже несколько месяцев находятся в осаде. «Уязвимости в программном обеспечении Oracle Java подвергались относительно крупномасштабным атакам в течение нескольких месяцев, и, как я уже упоминал, обновления безопасности для этих уязвимостей были доступны в течение некоторого времени.»Говорит Дождь. «Если вы недавно не обновляли Java в своей среде, вам следует оценить существующие риски. Среди прочего, организации должны знать, что у них может быть запущено несколько версий Java.", Он говорит.
Недостаток Java в Oracle, который был исправлен Oracle в прошлом месяце, в основном позволяет Java-апплету запускать произвольный код вне изолированной программной среды Java. Мур из Rapid7 говорит, что так называемый Java Rhino Exploit (который работает на нескольких платформах, включая Windows, iOS и Linux) происходит в фоновом режиме, не осознавая пользователя, пострадавшего от эксплойта. Интересно, что Linux теперь более уязвим для атак. «Oracle исправила его, Apple потребовала обновить программное обеспечение. Но большая часть продавцы Провайдеры Linux ?? не требует обновлений"Говорит Мур.
Обычно это используется в качестве первого этапа в многоэтапной атаке, используется для загрузки исполняемого файла или установки бота.
Вольфганг Кандек, технический директор Qualyx, говорит, что поддержка последнего эксплойта tenier Metasploit поможет повысить осведомленность об опасности устаревших приложений Java. «Преимущество ее использования на Metasploit заключается в том, что хорошие парни могут продемонстрировать, как работает эта [атака].", он говорит.
По его словам, многие организации, использующие устаревшие приложения Java в данных о клиентах Qualys, были крупными компаниями. «Существует тенденция отсутствия хороших процессов для исправления Java. Он летит под радаром", Он говорит.
---- На этом статья заканчивается.
Несомненно, это во многом связано с тем, что мы упоминали ранее ... то есть с тем, что Canonical перестанет предлагать Java от Oracle в своих репозиториях (Ubuntu, Kubuntu, Xubuntuи т. д.), ну, очевидно, да Oracle не позволяет включать обновления, это того не стоит, так как пользователь будет слишком уязвим для атак, подобных упомянутым выше.
Во всяком случае, что вы думаете об этом? 😉
привет
PD: Буквально вчера я читал руководство о том, как можно установить Linux на свой Nokia N70, я все еще не решил это сделать LOL !!!
Я давно использую IcedTea (OpenJDK, бесплатно) и почти всегда отключаю его, потому что почти не использую ...
У меня мало, около 3 месяцев, использую OpenJDK, я точно не знал недостатка безопасности в java, я изменил его, чтобы посмотреть, как работает libreoffice 😛
Я знаю, что это почти оффтоп, но… Linux на Nokia? В виде? Если бы я мог взять симбиан м___ из моего 5800, я был бы счастлив!
Знаете ли вы, что Symbian - двоюродный брат Linux? 😀
В любом случае, я до сих пор не читал достаточно информации об этом Linux на Nokia ... не волнуйтесь, когда я найду приличную информацию, я дам вам ссылки 😉
КЗКГ ^ Гаара… не заморачивайтесь, но… в переводе есть ошибки, например:
1 .- «… в последнее время делают выбор Java хакером в черной шляпе» должно быть «.. в последнее время они сделали Java выбор злонамеренных хакеров»
2.- «Поставщик» на английском языке также означает «Поставщик» («Поставщик»), поэтому фраза «Но большинство поставщиков Linux ...» остается без проблем «Но большинство поставщиков Linux ...»
привет
Нет, зря
Меня это действительно не беспокоит, я не профессиональный переводчик, тем более LOL !!!
Исправляю прямо сейчас 😉
На самом деле, большое спасибо, понимание английского для меня не составляет труда, что немного сложно для меня, так это написать и заказать на испанском 😀
привет
????
То же самое со мной происходит с испанским; Мне трудно понять фразы, содержащие местные выражения. Хотя они хоть какие-то все же от меня ускользают.
«Хакер в черной шляпе» - это выражение, используемое для обозначения злонамеренного хакера, и, безусловно, сложно перевести его на испанский язык.
Приветствия и крепкие объятия
Я не знаю, но мне известно, что «сознательный» не встречается в словаре RAE.
У нас также есть поставщики Linux, такие как Тито Марк и его приспешники.
Давайте посмотрим ... мой ноутбук сделан в Китае, но контроль КАЧЕСТВА - это серия B HP, то есть ... компоненты производятся в Китае (дешевая рабочая сила ...), но кто решает, какие компоненты достаточно хороши, так это производитель 😉
«Oracle действительно предлагает функцию автоматического обновления для Java, но для ее использования пользователю компьютера требуются права администратора, что не разрешается большинством компаний»
«Существует тенденция отсутствия хороших процессов для исправления Java».
Значит, проблема не в Java, а в том, что пользователи не имеют привычки обновлять ее, не так ли?
Честно говоря, проблема с java заключается в том, что безопасность, если мы сравним ее с flash, java в 20 раз безопаснее, проблема в том, что это язык, который сканирует. учиться сексуально, но это кошмар LOL!
Я хотел сказать * не такая уж безопасность *
Часто нам не дают возможности, Oracle с его ограничениями.
Со своей стороны использую OpenJDK, и пока никаких жалоб 🙂
Я попытался в Debian Squeeze удалить sun-java и вернуться к значениям по умолчанию, и… что в конце концов я ушел.
правда в том, что java давным-давно была хорошей альтернативой, теперь это просто много проблем 🙁
Одна из зависимостей в Мексике - это SAT и IMSS, которые гарантируют, что вы должны использовать очень старые версии более 3 лет, потому что если вы не можете войти в их порталы.
Я работаю в основном с административными пользователями, и они никогда ничего не обновляют, и они используют java для многих государственных программ, и для этого обязательно требуются определенные версии, которые содержат большие уязвимости, это также тема, к которой учреждения, такие как IMSS и SAT в Мексике, должны относиться более серьезно. ваши приложения и больше не распространяйте программное обеспечение, созданное в 2004 году или ранее, с такими проблемами
Что ж, я довольно давно использую sun-java, и правда в том, что у меня нет жалоб на получение результатов, которых я всегда хотел, и даже на то, что они выходят за рамки обычных. Openjdk для разработки - это не то, что я бы рекомендовал никому, хотя я полагаю, что это мои критерии. Ура