Jag har hittat en ganska intressant artikel, källan är darkreading.com och författaren är Kelly Jackson Higgins. Jag lämnar översättningen av den:
Den mörka sidan av Java
Metasploit lägger till en ny modul för de senaste Java-attackerna när Java blir det nya favoritmålet för cyberbrottslingar
01 dec 2011 | 08:08
Av Kelly Jackson Higgins
Mörk läsning
Det är ett dekadent verktyg från utvecklarnas sida, men java det förblir en primär och fortfarande ofta glömd datornärvaro som alltmer riktas mot skurkar.
Varför Java som en attackvektor?
Dess genomtränglighet och det överdrivna antalet föråldrade versioner som körs på datorer gör Java till den svarta hatten för hackare på senare tid. Siffrorna säger allt: Cirka 80 företagssystem kör föråldrade, opatchade versioner av Java, enligt data från Qualys. Och sedan tredje kvartalet 2010 har Microsoft upptäckt eller blockerat cirka 6.9 miljoner Java-exploateringsförsök varje kvartal, med totalt 27.5 miljoner exploateringsförsök under den tolvmånadersperioden.
Sammantaget använder 3 miljarder Java Java i världen, och 80% av webbläsarna gör det. Under tiden inaktiverar eller avinstallerar vissa mycket säkerhetsanpassade användare helt som en försiktighetsåtgärd.
Utvecklare av det mycket populära open source Matasploit-penetrationsverktyget den här veckan lade till en ny modul för den senaste Java-attacken som missbrukar en nyligen patchad sårbarhet i Oracles Java-implementering, Rhino. Bristen i Oracle Java SE JDK och JRE 7 och 6 uppdaterar 27 och tidigare versioner, som ursprungligen tillkännagavs av forskare här y här och kom sedan snabbt i frukt i ett hemligt krimvarupaket, som bloggaren Brian Krebs upptäckte i din webbplats. Krebs On Security rapporterade att attacken också kördes inom BlackHole crimeware kit.
«Java är vart det vill och ingen uppdaterar det ordentligt«Säger HD Moore, skapare och chefsarkitekt för Metasploit och CSO på Rapid7. «Mycket få företag uppdaterar det på sina datorer.»
"Oracle erbjuder en automatisk uppdateringsfunktion för Java, men det kräver administrativa behörigheter för datoranvändaren att kunna använda den, något som de flesta företag inte tillåter"Säger Moore.
Microsofts chef för betrodda datorer, Tim Rains, påpekade tidigare i veckan i ett inlägg att lappade buggar i Oracles Java-programvara har varit under belägring i flera månader. «Sårbarheter i Oracles Java-programvara har attackerats i relativt stor skala i flera månader och, som jag nämnde, säkerhetsuppdateringar för dessa sårbarheter har funnits under en tid.»Säger Rains. «Om du inte har uppdaterat Java i din miljö nyligen bör du bedöma de risker som finns. Bland annat måste organisationer vara medvetna om att de kan ha flera versioner av Java igång.", Han säger.
Oracles Java-fel, som lappades av Oracle förra månaden, tillåter i princip en Java-applet att köra godtycklig kod utanför Java-sandlådan. Rapid7s Moore säger att den så kallade Java Rhino Exploit (som fungerar på flera plattformar, inklusive Windows, iOS och Linux) förekommer i bakgrunden, omedveten för användaren som drabbats av exploateringen. Intressant är att Linux nu är mer utsatt för attacker. «Oracle lappade det, Apple krävde en programuppdatering. Men de flesta av säljare Linux-leverantörer...har inte beordrat uppdateringar"Säger Moore.
Detta används vanligtvis som ett första steg i en flerstegsattack, används för att ladda ner en körbar fil eller genom att installera en bot.
Wolfgang Kandek, CTO i Qualyx, säger att tenier Metasploit som stöder det senaste utnyttjandet skulle bidra till att öka medvetenheten om faran med föråldrade Java-appar. «Fördelarna med att ha det på Metasploit är att de trevliga killarna kan visa hur denna [attack] fungerar", han säger.
Många av organisationerna fann att de körde föråldrade Java-appar på Qualys kunddata var stora företag, säger han. «Det finns en tendens att inte ha bra processer för att lappa Java. Han flyger under radaren", Han säger.
---- Och här slutar artikeln.
Utan tvekan har detta mycket att göra med vad vi nämnde tidigare ... det vill säga vad gäller vad Canonical slutar erbjuda Java från Oracle i sina förvar (ubuntu, Kubuntu, Xubuntu, etc), självklart, ja Oracle tillåter inte uppdateringar att inkluderas, det är inte värt det, eftersom användaren skulle vara för sårbar för attacker som de som nämns ovan.
Hur som helst, vad tycker du om det? 😉
hälsningar
PD: Just igår läste jag en handledning om hur det är möjligt att installera Linux på min Nokia N70, jag har fortfarande inte bestämt mig för att göra det LOL !!!
Jag har använt IcedTea (OpenJDK, gratis) länge och har nästan alltid inaktiverat det eftersom jag knappast använder det ...
Jag har lite, cirka 3 månader med OpenJDK, jag visste inte exakt säkerhetsfelet i java, jag ändrade det bara för att se hur libreoffice fungerade 😛
Jag vet att detta är nästan offtopic men ... Linux på Nokia? Som? Om jag kan ta symbianen m___ ur min 5800 skulle jag vara glad!
Visste du att Symbian är Linuxs kusin? 😀
Hur som helst, jag läser fortfarande inte tillräckligt med information om denna Linux på Nokia ... oroa dig inte, när jag hittar anständig information ger jag dig länkarna 😉
KZKG ^ Gaara ... bry mig inte om det ... det finns några fel i översättningen, till exempel:
1 .- «... gör Java till den svarta hatthackarens val av sent» borde vara «.. nyligen gör de Java till valet av skadliga hackare»
2.- "Leverantör" på engelska betyder också "Leverantör" ("Leverantör") så frasen "Men de flesta Linux-leverantörer ..." förblir utan problem "Men de flesta Linux-leverantörer ..."
hälsningar
Nej för ingenting 😀
Det stör mig verkligen inte, jag är ingen professionell översättare, mycket mindre LOL !!!
Jag fixar det just nu 😉
Verkligen, tack så mycket, att förstå engelska är inte svårt för mig, det som är lite komplicerat för mig är att skriva det och beställa det på spanska 😀
hälsningar
🙂
Samma sak händer mig med spanska; Fraser som innehåller lokala uttryck är svåra för mig att förstå. Även om de är åtminstone flyr fortfarande mig.
"Black hat hacker" är ett uttryck som används för att beteckna den skadliga hackaren och det är verkligen ett väsen att översätta det till spanska.
Hälsningar och en stark kram
Jag vet inte men jag är medveten om att "medveten" inte förekommer i RAE-ordboken.
Vi har också Linux-leverantörer som Tito Mark och hans handlangare
Låt oss se ... min bärbara dator är tillverkad i Kina, men KVALITETskontrollen är HP: s B-serie, det vill säga ... komponenterna tillverkas i Kina (billig arbetskraft ...) men vem som bestämmer vilka komponenter som är tillräckligt bra är tillverkaren 😉
"Oracle erbjuder en automatisk uppdateringsfunktion för Java, men det kräver administrativa behörigheter för datoranvändaren att kunna använda den, något som de flesta företag inte tillåter"
"Det finns en tendens att inte ha bra processer för att lappa Java."
Så problemet är inte Java men att användare inte har för vana att uppdatera det, eller hur?
Ärligt talat är problemet med java så säker, om vi jämför det med java är 20 gånger säkrare är problemet att det är ett språk som kryper. det är sexigt att lära sig men det är en mardröm LOL!
Jag ville säga * inte så säker *
Många gånger får vi inte heller möjligheten, Oracle med sina begränsningar.
För min del använder jag OpenJDK, och hittills inga klagomål 🙂
Jag försökte i Debian Squeeze att avinstallera sun-java och gå tillbaka till standardinställningarna, och en ... som till slut slutade jag.
sanningen är att java var ett bra alternativ för länge sedan nu är det bara många problem 🙁
En av beroenden i Mexiko är SAT och IMSS, vilket ser till att du måste använda mycket gamla versioner på mer än 3 år, för om du inte kan komma in i deras portaler.
Jag arbetar mestadels med administrativa användare och de uppdaterar aldrig någonting och de använder java för många regeringsprogram och som nödvändigtvis kräver vissa versioner som innehåller stora sårbarheter, detta är också ett ämne som institutioner som IMSS och SAT i Mexiko borde ta mer seriöst dina applikationer och distribuerar inte längre programvara som skapades 2004 eller tidigare med sådana problem
Tja, jag har använt sun-java under ganska lång tid och sanningen är att jag inte har några klagomål att få de resultat jag alltid har velat och till och med gå lite bortom det konventionella. Openjdk för utveckling är inte något som jag skulle rekommendera någon, även om jag antar att det är mina kriterier. Skål