Tento týždeň sa veľa hovorilo o Jave. Najskôr sa hovorilo o aktualizácii 7. Verzia 10. Bola veľmi zraniteľná. Bolo to také zraniteľné a kritické, že mnohí odporúčali úplné odinštalovanie Javy na svojich počítačoch.
0-deň Un útok nulového dňa (v angličtine zero-day attack alebo 0-day attack) je útok na aplikáciu alebo systém, ktorý si kladie za cieľ spustiť škodlivý kód vďaka vedomostiam o zraniteľnostiach, ktoré všeobecne nie sú známe ľuďom ani výrobcovi výrobok. To predpokladá, že ešte neboli opravené. Tento typ využiť všeobecne koluje medzi radmi potenciálnych útočníkov, až kým nebude nakoniec zverejnený na verejných fórach. Útok nulového dňa je považovaný za jeden z najnebezpečnejších nástrojov a počítačová vojna1
Zraniteľnosť bola dosť vážna, pretože umožňovala spustenie a inštaláciu softvéru do systému bez toho, aby o tom používateľ vedel, čo umožnilo odcudzenie informácií a vykonanie prakticky čohokoľvek.
V posledných dňoch „génius“ spoločnosti Oracle vydal svoju novú verziu s predpokladanou aktualizáciou 0 dní nazvanou Java 7 update 11.
Mnohí ale tvrdia, že zraniteľnosť stále pretrváva. Alebo lepšie povedané, nebol úplne opravený. Podľa odborníkov tvrdia, že úplnému odstráneniu tejto chyby zabezpečenia môže spoločnosti Oracle trvať až 2 roky.
Od spoločnosti Oracle nám ponúkajú prejsť na ovládací panel Java a upraviť úroveň zabezpečenia a zmeniť ju zo strednej na vysokú, čo bez nášho súhlasu sťaží vykonávanie škodlivého kódu. Ale pozor „Bude to ťažšie“ Nezastaví to.
Ja osobne hovorím, že čas Java skončil. Odkedy čítam blogy, vždy sa ukázalo, že Java je veľmi zraniteľná a pravdou je, že nikdy nezistím, či mám Java nainštalovanú alebo nie. Myslím tým rozdiel si nevšimnem. Ja osobne som to odinštaloval už dávno a môj život zostáva rovnaký. Bezpečnejšie samozrejme 😀
Odporúčam, ak ste používatelia počítačov. Bežné a divoké, neinštalujte Javu. Máme toho s Flashom dosť.
Neviem, prečo sa mi pri čítaní tohto pousmeje. Možno som to ja; D
Už sme dvaja hehehe
Ani openjdk?
Ak využívate homebanking alebo využívate zložité stránky, je veľmi pravdepodobné, že na ich používanie musíte mať nainštalovanú Java - Java RTE, nie OpenJDK, kde väčšina z týchto stránok nefunguje.
Pokiaľ má msx pravdu, tak aj v mojom prípade je napríklad potrebné vstúpiť do systému známok a registrácie kurzov mojej univerzity. Mimochodom, neberte to zle, ale mohli by ste uviesť zdroje, ktoré tvrdia, že zraniteľnosť po aktualizácii stále pretrváva? Mám záujem dozvedieť sa viac, pretože používanie Java je nevyhnutné zlo.
V týchto končinách som bol vždy najväčším odraďovačom Javy. Pravda je, že tieto typy kritických zraniteľností sa v tomto jazyku objavujú vždy, a to je jeden z mnohých dôvodov, prečo odmietam používať taký nekvalitný produkt.
No tak, netrvá dlho a jeden sa mi vráti a odpovie, že Java je toto, Android je druhý ... do prdele Java.
Malá oprava: to, čo je nezabezpečené, nie je jazyk (ktorý je so svojimi triedami a prípadom ťavy hrozný), ale virtuálny stroj, kde je Java zostavovaná za chodu.
Je zrejmé, že moja chyba je, že som to nešpecifikoval, niekedy to zvyknem veľmi zovšeobecňovať.
Ale nemám rád všetko, čo súvisí s Javou.
Vrátane hrozného, pomalého, archaického a bolestivého dalvického enginu, ktorý používa Android.
Uf, je dobré nájsť ľudí s názorom a bez strachu hovoriť veci také, aké sú.
Budúcnosť je našťastie sľubná s veľkým počtom alternatív, ktoré sú v konečnej fáze dozrievania: D: D
Je čas vymeniť celú Javu za Python ... myslím. Ako povedal autor, doba Javy skončila.
Úplne súhlasím.
V tom, že ak súhlasím, python ani nie je potrebné kompilovať, ale ako si stiahnem bez jdownloaderu?, Tucan pre mňa nefunguje a horšie ratfat, ktorý odporúča multiprotokolový sťahovací program, kde fungujú odkazy na vkladový súbor?
radlica
Dúfajme, že to môj šéf nečíta .. ak sa nebudem venovať predaju remeselných výrobkov na námestí ... hehehe
Dobre, s novinkami; každopádne na stránkach, kde som sa dočítal o tejto zraniteľnosti Java, varujú iba používateľov Windows a OS X, nevidel som nijakú zmienku o GNU / Linux, v každom prípade, tak ako vo všetkých veciach, stupeň Nebezpečenstvo, ktoré predstavuje, bude závisieť od našich návykov pri prehliadaní a bezpečnosti. Na druhej strane nemám celkom jasno v tom, či úplne zakázať a / alebo odinštalovať Java, pretože ju nepoužívajú iba prehliadače; ak sa pozriete pozorne, balíčky LibreOffice a OpenOffice ich predvolene inštalujú a používajú, takže si nie som istý, aký efektívny bude „odinštalovanie“, ak má niekto o veci presnejšiu predstavu, ocenil by som ju podrobne vysvetliť.
Zraniteľné pre systém Linux:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
A aj keď riziko znižujete tým, že nenavštívite stránky s pochybnou bezpečnosťou, infekcia môže byť spôsobená jednoduchou návštevou napadnutej stránky (web vašej školy, komerčný obchod atď.).
Aj keď je Linux bezpečnejší, nepodporujte mýtus, že je nedotknuteľný.
Nie je to tak.
GNU / Linux je bezpečný, nezabezpečený je Java.
Windows sú nezabezpečené s alebo bez Java.
Ak necháte SSH server otvorený na porte 22 s prístupom root a bez hesla, logicky sa prihlási ako Pancho doma.
Neexistuje žiadny zdroj FUD.
A dodávam: problémom v Jave sú nízke požiadavky na virtuálny stroj, v tomto novom svetle je zrejmé, že:
virtuálny stroj potrebuje na svoju činnosť prístup na nízkej úrovni, čo je samo o sebe chybou návrhu a vektorom útoku, pretože systém (v tomto prípade GNU / Linux) nemá žiadny spôsob konania alebo obrany, pretože doslova odovzdá kľúče Java.
Logicky, ak virtuálny stroj požaduje neobmedzený prístup do systému, aby fungoval, bude to najslabšie miesto samotného systému a všeobecná bezpečnosť systému bude poznačená bezpečnosťou aplikácií, ktoré je potrebné spustiť v priestore jadra alebo užívateľskom priestore privilegovaný.
Dokumentujte sa, čítajte, porozumejte a - prosím - nešírte FUD.
Pokiaľ si dobre pamätám alebo chápem, neexistuje spôsob, ako by ktorákoľvek aplikácia mohla pristupovať k takej nízkej úrovni činnosti v jadre.
Čítal som to ale práve teraz si nepamätám kde a pravda je taká, že ani ja neviem dosť na to, aby som o tom polemizoval ... Nie som taký nezodpovedný, ale chcel som to aj tak komentovať.
Mám libreoffice a nenainštaloval som si javu.
V prípade Windows to ovplyvňuje XP a 7. Windows 8 a Explorer 10 bez problémov. Na počítači so systémom Linux som ho pre každý prípad už v prehľadávačoch zakázal.
Ak používate Sun Java v systéme Linux, aktualizácia to chvíľu trvá. Najmä ak používate Distros ako Debian. Potom zvyčajne buď zostavte alebo nainštalujte príručku .debs. Preto sa neaktualizujú.
stačí deaktivovať doplnky, nie je potrebné ich odinštalovať
Aký má zmysel mať nainštalovaný doplnok a deaktivovať ho?
Že keď problém vyriešite, povolíte ho, myslím si, že bude aktualizovaný pomocou opravy.
že keď problém vyriešia a vydajú novú verziu, ktorú im znova povolíte, je to to isté, čo hovorí Juan Carlos, s výnimkou opráv, pretože bez ohľadu na to, ako veľmi ich odstránia, sa zdá, že problém pretrváva
@ Charlie Brown
Libreoffice nainštaluje openjdk, nenainštaluje javu, nie je problém, teraz, ako hovorí msx, áno
Yupiiii, sme v bezpečí.
Čo tak openjdk?
Som minecrafter .. Nie som ochotná sa tak ľahko vzdať 😛
Vidíte mi objasniť jednu vec, má táto chyba vplyv na openjdk? pretože z toho, čo viem, väčšina linuxu používa openjdk, pretože z toho, čo som čítal, je to chyba Java alebo Oracle