Kam gjetur një artikull mjaft interesant, burimi është darkreading.com dhe autori është Kelly Jackson Higgins. Unë lë përkthimin e tij:
Ana e errët e Java
Metasploit shton modul të ri për sulmet e fundit Java kur Java bëhet objektivi i ri i preferuar i kriminelëve në internet
01 dhjetor 2011 | 08:08 PM
Nga Kelly Jackson Higgins
Lexim i errët
Isshtë një mjet dekadent nga ana e zhvilluesve, por Java mbetet një prani kryesore dhe ende e harruar shpesh në kompjuterë që gjithnjë e më shumë po shënjestrohet nga villains.
Pse Java si një vektor sulmi?
Depërtueshmëria e tij dhe numri i tepruar i versioneve të vjetruara që dalin atje në kompjuter po e bëjnë Java-n kapelën e zezë të zgjedhur për hakerat kohët e fundit. Shifrat flasin gjithçka: Rreth 80 sisteme ndërmarrjesh ekzekutojnë versione të vjetruara, të papashuara të Java, sipas të dhënave të Qualys. Dhe që nga tremujori i tretë i vitit 2010, Microsoft ka zbuluar ose bllokuar afërsisht 6.9 milion përpjekje për shfrytëzim Java çdo tremujor, për një total prej 27.5 milion përpjekjesh të shfrytëzimit gjatë asaj periudhe 12-mujore.
Në përgjithësi, 3 miliard pajisje përdorin Java në botë, dhe 80% e shfletuesve e përdorin. Ndërkohë, disa përdorues të mençur të sigurisë po e çaktivizojnë ose çinstalojnë atë plotësisht si një masë paraprake.
Zhvilluesit e mjetit gjerësisht të popullarizuar të testimit të depërtimit të burimit të hapur Matasploit këtë javë shtuan një modul të ri për sulmin e fundit Java që abuzon me një dobësi të rregulluar kohët e fundit në zbatimin e Java të Oracle, Rhino. E meta në Oracle Java SE JDK dhe JRE 7 dhe 6 azhurnojnë 27 dhe versionet e mëparshme, e cila fillimisht u njoftua nga studiuesit këtu y këtu dhe pastaj shpejt u realizua me një pajisje kriminale kriminale, siç zbuloi blogeri Brian Krebs në faqen tuaj te internetit. Krebs On Security raportoi se sulmi po drejtohej gjithashtu në kompletin e krimbave BlackHole.
«Java është ku të dojë, dhe askush nuk e azhurnon siç duhet«Thotë HD Moore, krijues dhe arkitekt kryesor për Metasploit dhe OSHC në Rapid7. «Shumë pak kompani e azhurnojnë atë në kompjuterët e tyre.»
“Oracle ofron një veçori të azhurnimit automatik për Java, por kërkon privilegje administrative që përdoruesi i kompjuterit ta përdorë, diçka që shumica e kompanive nuk e lejojnë."Thotë Moore.
Drejtori i Microsoft i Trusted Computing, Tim Rains, në fillim të kësaj jave theksoi në një postim se defektet e ndrequra në programin Java të Oracle ishin nën rrethim për muaj me radhë. «Dobësitë në programin Java të Oracle janë sulmuar në një shkallë relativisht të madhe për disa muaj dhe, siç e përmenda, azhurnimet e sigurisë për këto dobësi ishin në dispozicion për disa kohë.»Thotë shirat. «Nëse nuk keni azhurnuar Java në mjedisin tuaj kohët e fundit, duhet të vlerësoni rreziqet e pranishme. Ndër të tjera, organizatat duhet të jenë të vetëdijshme se ata mund të kenë shumë versione të ekzekutimit të Java.", Ai thote.
E meta e Java e Oracle, e cila u rregullua nga Oracle muajin e kaluar, në thelb lejon që një applet Java të ekzekutojë një kod arbitrar jashtë kutisë së rërës Java. Moore i Rapid7 thotë se i ashtuquajturi Java Rhino Exploit (i cili punon në shumë platforma, përfshirë Windows, iOS dhe Linux) ndodh në sfond, pa ndjenja për përdoruesin e goditur nga shfrytëzimi. Interesante, Linux tani është më i prekshëm nga sulmet. «Oracle e rregulloi atë, Apple kërkoi një azhurnim të softuerit. Por shumica e shitësit Ofruesit e Linux ?? nuk kanë kërkuar azhurnime"Thotë Moore.
Kjo zakonisht përdoret si fazë e parë në një sulm me shumë faza, që përdoret për të shkarkuar një skedar të ekzekutueshëm ose duke instaluar një bot.
Wolfgang Kandek, CTO i Qualyx, thotë se tenier Metasploit duke mbështetur shfrytëzimin e fundit do të ndihmonte në rritjen e ndërgjegjësimit për rrezikun e aplikacioneve të vjetruara Java. «Përfitimet e të pasurit atë në Metasploit është se njerëzit e mirë mund të demonstrojnë se si funksionon kjo [sulm]", ai thote.
Shumë prej organizatave zbuluan se aplikacionet e vjetruara Java në të dhënat e klientëve të Qualys ishin kompani të mëdha, thotë ai. «Ekziston një tendencë për të mos pasur procese të mira për patch-in Java. Ai fluturon nën radar", Ai thote.
---- Dhe këtu artikulli mbaron.
Pa dyshim, kjo ka të bëjë shumë me atë që përmendëm më parë ... domethënë, në lidhje me atë Canonical do të ndalojë ofrimin e Java nga Oracle në depot e saj (Ubuntu, Kubuntu, Xubuntu, etj), qartë, po Orakull nuk lejon përfshirjen e azhurnimeve, nuk ia vlen, pasi përdoruesi do të ishte shumë i prekshëm ndaj sulmeve të tilla si ato të përmendura më sipër.
Sidoqoftë, çfarë mendoni për këtë? 😉
të fala
PD: Vetëm dje isha duke lexuar një udhëzues se si është e mundur të instaloj Linux në Nokia N70 tim, ende nuk kam vendosur ta bëj LOL !!!
Unë kam qenë duke përdorur IcedTea (OpenJDK, falas) për një kohë të gjatë dhe pothuajse gjithmonë e kam me aftësi të kufizuara sepse mezi e përdor atë ...
Kam pak, rreth 3 muaj duke përdorur OpenJDK, nuk e dija saktësisht të metën e sigurisë në java, e ndryshova atë vetëm për të parë se si funksiononte libreoffice
E di që kjo është pothuajse offtopic por… Linux në Nokia? Si? Nëse mund ta heq m___ Symbian nga 5800, do të isha i kënaqur!
A e dini se Symbian është kushëriri i parë i Linux? 😀
Gjithsesi, unë ende nuk lexoj mjaftueshëm informacion në lidhje me këtë Linux në Nokia ... mos u shqetësoni, kur të gjej një informacion të mirë do t'ju jap lidhjet
KZKG ^ Gaara… mos u shqetëso me mua por… ka disa gabime në përkthim, për shembull:
1. - «… po e bëjnë Java zgjedhjen e hakerit të kapeleve të zeza» duhet të jetë «.. kohët e fundit ata e bëjnë Java zgjedhjen e hakerave me qëllim të keq»
2.- «Shitës» në anglisht do të thotë gjithashtu «Furnizues» («Furnizues») kështu që fraza «Por shumica e shitësve të Linux ...» mbetet pa ndonjë problem «Por shumica e furnizuesve të Linux ...»
të fala
Nah për asgjë
Me të vërtetë nuk më shqetëson, unë nuk jam një përkthyes profesionist, aq më pak LOL !!!
E rregulloj tani
Në të vërtetë, shumë faleminderit, të kuptuarit anglisht nuk është e vështirë për mua, ajo që është paksa komplekse për mua është ta shkruaj dhe ta porosis në spanjisht
të fala
🙂
E njëjta gjë më ndodh me spanjishten; Frazat që përmbajnë shprehje lokale janë të vështira për mua t’i kuptoj. Edhe pse ata tashmë janë të paktën disa ende më shpëtojnë.
"Hakeri i kapelës së zezë" është një shprehje e përdorur për të përcaktuar hakerin me qëllim të keq dhe sigurisht që është një bujë për ta përkthyer atë në spanjisht.
Përshëndetje dhe një përqafim të fortë
Nuk e di por jam i vetëdijshëm që "i vetëdijshëm" nuk paraqitet në fjalorin RAE.
Ne gjithashtu kemi shitës të Linux si Tito Mark dhe ndihmësit e tij
Le të shohim laptop laptopi im është i prodhuar në Kinë, por kontrolli i CILALSIS is është seria B e HP-së, domethënë… përbërësit prodhohen në Kinë (fuqi punëtore e lirë…) por kush vendos se cilët komponentë janë mjaft të mirë është prodhuesi
"Oracle ofron një veçori të azhurnimit automatik për Java, por kërkon privilegje administrative që përdoruesi i kompjuterit ta përdorë, diçka që shumica e kompanive nuk e lejojnë"
"Ekziston një tendencë për të mos patur procese të mira për rregullimin e Java."
Pra, problemi nuk është Java por që përdoruesit nuk e kanë zakon ta përditësojnë atë, është e saktë?
Sinqerisht, problemi me java është kaq i sigurt, nëse e krahasojmë me flash është 20 herë java më e sigurt, problemi është se është një gjuhë që zvarritet. është seksi për tu mësuar por është një makth LOL!
Desha te them * jo aq siguri *
Shumë herë as neve nuk na jepet mundësia, Oracle me kufizimet e saj.
Nga ana ime unë jam duke përdorur OpenJDK, dhe deri më tani asnjë ankesë
Unë u përpoqa në Debian Squeeze të çinstaloj java-diell dhe të kthehem te ato të paracaktuara, dhe një… që në fund e lë.
e vërteta është se java ishte një alternativë e mirë shumë kohë më parë tani ka vetëm shumë probleme
Një nga varësitë në Meksikë është SAT dhe IMSS i cili siguron që ju duhet të përdorni versione shumë të vjetra prej më shumë se 3 vitesh, sepse nëse nuk mund të futni portalet e tyre.
Unë punoj kryesisht me përdorues administrativë dhe ata kurrë nuk azhurnojnë asgjë dhe ata përdorin java për shumë programe qeveritare dhe që kërkojnë domosdoshmërisht versione të caktuara që përfshijnë dobësi të mëdha, kjo është gjithashtu një temë që institucionet si IMSS dhe SAT në Meksikë duhet ta marrin më seriozisht dhe mbani aplikacionet tuaja dhe mos shpërndani më softuer të krijuar në 2004 ose më herët me probleme të tilla
Epo, unë kam përdorur java-dielli për mjaft kohë dhe e vërteta është se nuk kam asnjë ankesë për të marrë rezultatet që kam dashur gjithmonë dhe madje duke shkuar pak përtej konvencionales. Openjdk për zhvillim nuk është diçka që unë do t'ia rekomandoja askujt, megjithëse mendoj se ky është kriteri im. Brohoritje