జావా యొక్క చీకటి వైపు

నేను చాలా ఆసక్తికరమైన కథనాన్ని కనుగొన్నాను, మూలం డార్క్ రీడింగ్.కామ్ మరియు రచయిత కెల్లీ జాక్సన్ హిగ్గిన్స్. నేను దాని అనువాదాన్ని వదిలివేస్తున్నాను:

జావా యొక్క డార్క్ సైడ్

సైబర్ క్రైమినల్స్ యొక్క జావా కొత్త అభిమాన లక్ష్యంగా మారినప్పుడు మెటాస్ప్లోయిట్ తాజా జావా దాడులకు కొత్త మాడ్యూల్‌ను జతచేస్తుంది

డిసెంబర్ 01, 2011 | 08:08 అపరాహ్నం
కెల్లీ జాక్సన్ హిగ్గిన్స్ చేత
డార్క్ రీడింగ్
ఇది డెవలపర్ల వైపు క్షీణించిన సాధనం, కానీ జావా ఇది విలన్లచే ఎక్కువగా లక్ష్యంగా ఉన్న కంప్యూటర్లలో ప్రాధమిక మరియు ఇప్పటికీ మరచిపోయిన ఉనికిగా మిగిలిపోయింది.
దాడి వెక్టర్‌గా జావా ఎందుకు?

కంప్యూటర్లలో దాని యొక్క చొచ్చుకుపోయే సామర్థ్యం మరియు కాలం చెల్లిన సంస్కరణలు జావాను హ్యాకర్లకు ఎంపిక చేసే బ్లాక్ టోపీగా మారుస్తున్నాయి. సంఖ్యలు ఇవన్నీ చెబుతున్నాయి: క్వాలిస్ డేటా ప్రకారం, సుమారు 80 ఎంటర్ప్రైజ్ సిస్టమ్స్ జావా యొక్క పాత, అన్‌ప్యాచ్ వెర్షన్లను అమలు చేస్తాయి. 2010 మూడవ త్రైమాసికం నుండి, మైక్రోసాఫ్ట్ ప్రతి త్రైమాసికంలో సుమారు 6.9 మిలియన్ జావా దోపిడీ ప్రయత్నాలను గుర్తించింది లేదా నిరోధించింది, ఆ 27.5 నెలల కాలంలో మొత్తం 12 మిలియన్ల దోపిడీ ప్రయత్నాల కోసం.
మొత్తంమీద, ప్రపంచంలో 3 బిలియన్ పరికరాలు జావాను ఉపయోగిస్తాయి మరియు 80% బ్రౌజర్‌లు ఉపయోగిస్తాయి. ఇంతలో, చాలా భద్రతా అవగాహన ఉన్న వినియోగదారులు దీనిని పూర్తిగా ముందుజాగ్రత్తగా నిలిపివేస్తున్నారు లేదా అన్‌ఇన్‌స్టాల్ చేస్తున్నారు.
ఈ వారం విస్తృతంగా ప్రాచుర్యం పొందిన ఓపెన్ సోర్స్ మాటాస్ప్లోయిట్ చొచ్చుకుపోయే పరీక్షా సాధనం యొక్క డెవలపర్లు ఒరాకిల్ యొక్క జావా అమలు, రినోలో ఇటీవల అతుక్కొని ఉన్న దుర్బలత్వాన్ని దుర్వినియోగం చేసే తాజా జావా దాడికి కొత్త మాడ్యూల్‌ను జోడించారు. ఒరాకిల్ జావా SE JDK మరియు JRE 7 మరియు 6 నవీకరణ 27 మరియు మునుపటి సంస్కరణల్లోని లోపం, దీనిని మొదట పరిశోధకులు ప్రకటించారు ఇక్కడ y ఇక్కడ బ్లాగర్ బ్రియాన్ క్రెబ్స్ కనుగొన్నట్లుగా, భూగర్భ క్రైమ్వేర్ కిట్లో త్వరగా ఫలించింది మీ వెబ్‌సైట్. బ్లాక్ హోల్ క్రైమ్‌వేర్ కిట్‌లో కూడా ఈ దాడి జరుగుతోందని క్రెబ్స్ ఆన్ సెక్యూరిటీ నివేదించింది.
«జావా అది కోరుకున్న చోట ఉంది మరియు ఎవరూ దానిని సరిగ్గా నవీకరించరుRap రాపిడ్ 7 వద్ద మెటాస్ప్లోయిట్ మరియు CSO కోసం సృష్టికర్త మరియు చీఫ్ ఆర్కిటెక్ట్ HD మూర్ చెప్పారు. «చాలా కొద్ది కంపెనీలు తమ కంప్యూటర్లలో దీన్ని అప్‌డేట్ చేస్తాయి.»
“ఒరాకిల్ జావా కోసం ఆటో-అప్‌డేట్ ఫీచర్‌ను అందిస్తుంది, అయితే కంప్యూటర్ యూజర్ దీన్ని ఉపయోగించటానికి పరిపాలనా అధికారాలు అవసరం, చాలా కంపెనీలు అనుమతించనివి"మూర్ చెప్పారు.

మైక్రోసాఫ్ట్ ట్రస్టెడ్ కంప్యూటింగ్ డైరెక్టర్, టిమ్ రైన్స్, ఈ వారం ప్రారంభంలో ఒరాకిల్ యొక్క జావా సాఫ్ట్‌వేర్‌లో దోషాలు నెలరోజులుగా ముట్టడిలో ఉన్నట్లు ఒక పోస్ట్‌లో ఎత్తి చూపారు. «ఒరాకిల్ యొక్క జావా సాఫ్ట్‌వేర్‌లోని ప్రమాదాలు చాలా నెలలుగా సాపేక్షంగా పెద్ద ఎత్తున దాడిలో ఉన్నాయి, మరియు నేను చెప్పినట్లుగా, ఈ దుర్బలత్వాలకు భద్రతా నవీకరణలు కొంతకాలంగా అందుబాటులో ఉన్నాయి.»వర్షాలు చెప్పారు. «మీరు ఇటీవల మీ వాతావరణంలో జావాను నవీకరించకపోతే, మీరు ఉన్న నష్టాలను అంచనా వేయాలి. ఇతర విషయాలతోపాటు, జావా రన్నింగ్ యొక్క బహుళ వెర్షన్లను కలిగి ఉండవచ్చని సంస్థలు తెలుసుకోవాలి.", అతను చెప్తున్నాడు.

ఒరాకిల్ యొక్క జావా లోపం, ఇది గత నెలలో ఒరాకిల్ చేత అతుక్కొని ఉంది, ప్రాథమికంగా జావా ఆప్లెట్ జావా శాండ్‌బాక్స్ వెలుపల ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది. జాపి రినో ఎక్స్‌ప్లోయిట్ (విండోస్, ఐఓఎస్ మరియు లైనక్స్‌తో సహా పలు ప్లాట్‌ఫామ్‌లలో పనిచేస్తుంది) అని పిలవబడే నేపథ్యంలో సంభవిస్తుందని, దోపిడీకి గురైన వినియోగదారుకు అపస్మారక స్థితిలో ఉందని రాపిడ్ 7 యొక్క మూర్ చెప్పారు. ఆసక్తికరంగా, లైనక్స్ ఇప్పుడు దాడికి ఎక్కువ అవకాశం ఉంది. «ఒరాకిల్ దానిని అరికట్టింది, ఆపిల్ సాఫ్ట్‌వేర్ అప్‌గ్రేడ్ చేయాలని డిమాండ్ చేసింది. కానీ చాలా అమ్మకందారుల Linux విక్రేతలు ... నవీకరణలు అవసరం లేదు"మూర్ చెప్పారు.
ఇది సాధారణంగా బహుళ-దశల దాడిలో మొదటి దశగా ఉపయోగించబడుతుంది, ఇది ఎక్జిక్యూటబుల్ ఫైల్‌ను డౌన్‌లోడ్ చేయడానికి లేదా బోట్‌ను ఇన్‌స్టాల్ చేయడం ద్వారా ఉపయోగించబడుతుంది.
క్వాలిక్స్ యొక్క CTO వోల్ఫ్గ్యాంగ్ కండెక్, తాజా దోపిడీకి మద్దతు ఇచ్చే టెనియర్ మెటాస్ప్లోయిట్ పాత జావా అనువర్తనాల ప్రమాదం గురించి అవగాహన పెంచడానికి సహాయపడుతుందని చెప్పారు. «మెటాస్ప్లోయిట్లో కలిగి ఉండటం వల్ల కలిగే ప్రయోజనాలు ఏమిటంటే, ఈ [దాడి] ఎలా పనిచేస్తుందో మంచి వ్యక్తులు చూపించగలరు", అతను చెప్తున్నాడు.
క్వాలిస్ కస్టమర్ డేటాలో పాత జావా అనువర్తనాలను అమలు చేస్తున్న అనేక సంస్థలు పెద్ద కంపెనీలు అని ఆయన చెప్పారు. «జావా పాచింగ్ కోసం మంచి ప్రక్రియలు లేని ధోరణి ఉంది. అతను రాడార్ కింద ఎగురుతాడు", అతను చెప్తున్నాడు.

---- మరియు ఇక్కడ వ్యాసం ముగుస్తుంది.

నిస్సందేహంగా, దీనికి ముందు మనం చెప్పినదానితో చాలా సంబంధం ఉంది ... అంటే, దేనికి సంబంధించి కానానికల్ దాని రిపోజిటరీలలో ఒరాకిల్ నుండి జావాను అందించడం ఆపివేస్తుంది (ఉబుంటు, కుబుంటు, Xubuntu, etc), బాగా స్పష్టంగా, అవును ఒరాకిల్ నవీకరణలను చేర్చడానికి అనుమతించదు, అది విలువైనది కాదు, ఎందుకంటే పైన పేర్కొన్న వాటి వంటి దాడులకు వినియోగదారు చాలా హాని కలిగి ఉంటారు.

ఏమైనా, మీరు దాని గురించి ఏమనుకుంటున్నారు? 😉

కోట్తో ప్రత్యుత్తరం ఇవ్వండి

PD: నిన్ననే నా నోకియా ఎన్ 70 లో లైనక్స్ ను ఎలా ఇన్స్టాల్ చేసుకోవాలో అనే ట్యుటోరియల్ చదువుతున్నాను, నేను ఇంకా దీన్ని LOL చేయాలని నిర్ణయించుకోలేదు !!!


వ్యాసం యొక్క కంటెంట్ మా సూత్రాలకు కట్టుబడి ఉంటుంది సంపాదకీయ నీతి. లోపం నివేదించడానికి క్లిక్ చేయండి ఇక్కడ.

18 వ్యాఖ్యలు, మీదే వదిలేయండి

మీ వ్యాఖ్యను ఇవ్వండి

మీ ఇమెయిల్ చిరునామా ప్రచురితమైన కాదు. లు గుర్తించబడతాయి గుర్తించబడతాయి *

*

*

  1. డేటాకు బాధ్యత: మిగ్యుల్ ఏంజెల్ గాటన్
  2. డేటా యొక్క ఉద్దేశ్యం: కంట్రోల్ స్పామ్, వ్యాఖ్య నిర్వహణ.
  3. చట్టబద్ధత: మీ సమ్మతి
  4. డేటా యొక్క కమ్యూనికేషన్: డేటా చట్టపరమైన బాధ్యత ద్వారా తప్ప మూడవ పార్టీలకు తెలియజేయబడదు.
  5. డేటా నిల్వ: ఆక్సెంటస్ నెట్‌వర్క్స్ (EU) హోస్ట్ చేసిన డేటాబేస్
  6. హక్కులు: ఎప్పుడైనా మీరు మీ సమాచారాన్ని పరిమితం చేయవచ్చు, తిరిగి పొందవచ్చు మరియు తొలగించవచ్చు.

  1.   invisible15 అతను చెప్పాడు

    నేను చాలా కాలంగా IcedTea (OpenJDK, free) ను ఉపయోగిస్తున్నాను మరియు నేను దీన్ని ఎల్లప్పుడూ క్రియారహితం చేశాను ఎందుకంటే నేను దాన్ని ఉపయోగించలేను ...

  2.   ఆల్ఫ్ అతను చెప్పాడు

    OpenJDK ని ఉపయోగించడం గురించి నాకు చాలా తక్కువ ఉంది, జావాలో భద్రతా లోపం నాకు ఖచ్చితంగా తెలియదు, లిబ్రేఆఫీస్ ఎలా పనిచేస్తుందో చూడటానికి నేను దానిని మార్చాను

  3.   ఎరిత్రిమ్ అతను చెప్పాడు

    ఇది దాదాపు ఆఫ్టోపిక్ అని నాకు తెలుసు కానీ… నోకియాలో లైనక్స్? గా? నా 5800 లో m___ సింబియన్‌ను నేను తీసుకోగలిగితే నేను ఆనందిస్తాను!

    1.    KZKG ^ గారా అతను చెప్పాడు

      సింబియన్ లైనక్స్ యొక్క మొదటి బంధువు అని మీకు తెలుసా? 😀
      ఏదేమైనా, నోకియాలో లైనక్స్ గురించి నేను ఇంకా తగినంత సమాచారం చదవలేదు ... చింతించకండి, కొంత మంచి సమాచారం దొరికినప్పుడు నేను మీకు లింక్‌లను ఇస్తాను

  4.   టీనా టోలెడో అతను చెప్పాడు

    KZKG ^ Gaara… నాతో బాధపడకండి కానీ… అనువాదంలో కొన్ని లోపాలు ఉన్నాయి, ఉదాహరణకు:

    1 .- «… జావాను బ్లాక్ టోపీ హ్యాకర్ యొక్క ఆలస్యంగా ఎంపిక చేసుకోవాలి late ఉండాలి« .. ఇటీవల వారు జావాను హానికరమైన హ్యాకర్ల ఎంపికగా చేస్తారు »

    .

    కోట్తో ప్రత్యుత్తరం ఇవ్వండి

    1.    KZKG ^ గారా అతను చెప్పాడు

      ఏమీ కోసం నాహ్
      ఇది నిజంగా నన్ను బాధించదు, నేను ప్రొఫెషనల్ అనువాదకుడు కాదు, చాలా తక్కువ LOL !!!
      నేను ఇప్పుడే దాన్ని పరిష్కరించాను

      నిజంగా, చాలా ధన్యవాదాలు, ఇంగ్లీష్ అర్థం చేసుకోవడం నాకు కష్టం కాదు, నాకు కొంచెం క్లిష్టమైనది ఏమిటంటే ఇది వ్రాసి స్పానిష్ భాషలో ఆర్డర్ చేయడం

      కోట్తో ప్రత్యుత్తరం ఇవ్వండి

      1.    టీనా టోలెడో అతను చెప్పాడు

        🙂
        స్పానిష్ భాషతో నాకు అదే జరుగుతుంది; స్థానిక వ్యక్తీకరణలను కలిగి ఉన్న పదబంధాలు నాకు అర్థం చేసుకోవడం కష్టం. వారు కనీసం కొంతమంది ఇప్పటికీ నన్ను తప్పించుకుంటారు.
        "బ్లాక్ టోపీ హ్యాకర్" అనేది హానికరమైన హ్యాకర్‌ను నియమించడానికి ఉపయోగించే వ్యక్తీకరణ మరియు దీనిని స్పానిష్‌లోకి అనువదించడానికి ఖచ్చితంగా ఒక రచ్చ.

        శుభాకాంక్షలు మరియు బలమైన కౌగిలింత

  5.   ధైర్యం అతను చెప్పాడు

    మీరు చెప్పేది మీకు తెలుసా

    నాకు తెలియదు కాని RAE నిఘంటువులో "చేతన" కనిపించదని నాకు తెలుసు.

    మాకు టిటో మార్క్ మరియు అతని అనుచరులు వంటి లైనక్స్ విక్రేతలు కూడా ఉన్నారు

    1.    KZKG ^ గారా అతను చెప్పాడు

      చూద్దాం ... నా ల్యాప్‌టాప్ మేడ్ ఇన్ చైనా, కానీ క్వాలిటీ కంట్రోల్ HP యొక్క B సిరీస్, అంటే ... భాగాలు చైనాలో తయారు చేయబడతాయి (చౌక శ్రమ ...) కానీ ఏ భాగాలు సరిపోతాయో ఎవరు నిర్ణయిస్తారు తయారీదారు 😉

  6.   టీనా టోలెడో అతను చెప్పాడు

    "ఒరాకిల్ జావా కోసం ఆటో-అప్‌డేట్ ఫంక్షన్‌ను అందిస్తుంది, అయితే కంప్యూటర్ యూజర్ దీన్ని ఉపయోగించటానికి పరిపాలనా అధికారాలు అవసరం, చాలా కంపెనీలు అనుమతించనివి"
    "జావాను అరికట్టడానికి మంచి ప్రక్రియలు లేని ధోరణి ఉంది."

    కాబట్టి సమస్య జావా కాదు కాని వినియోగదారులకు దాన్ని అప్‌డేట్ చేసే అలవాటు లేదు, అది సరైనదేనా?

    1.    పాండవ్ 92 అతను చెప్పాడు

      నిజాయితీగా జావాతో సమస్య చాలా భద్రత, మేము దానిని ఫ్లాష్ జావాతో పోల్చినట్లయితే 20 రెట్లు ఎక్కువ సురక్షితం, సమస్య ఏమిటంటే అది క్రాల్ చేసే భాష. ఇది నేర్చుకోవడం సెక్సీ కానీ ఇది ఒక పీడకల LOL!

      1.    పాండవ్ 92 అతను చెప్పాడు

        నేను * అంత భద్రత కాదు * అని చెప్పాలనుకున్నాను

    2.    KZKG ^ గారా అతను చెప్పాడు

      చాలా సార్లు మనకు ఒరాకిల్ దాని పరిమితులతో అవకాశం ఇవ్వలేదు.
      నా వంతుగా నేను OpenJDK ని ఉపయోగిస్తున్నాను మరియు ఇప్పటివరకు ఎటువంటి ఫిర్యాదులు లేవు

  7.   జోస్ మిగ్యుల్ అతను చెప్పాడు

    సూర్యుడు-జావాను అన్‌ఇన్‌స్టాల్ చేసి, డిఫాల్ట్‌గా తిరిగి వెళ్ళడానికి నేను డెబియన్ స్క్వీజ్‌లో ప్రయత్నించాను, మరియు ఒక… చివరికి నేను నిష్క్రమించాను.

  8.   ఉబుంటెరో అతను చెప్పాడు

    నిజం ఏమిటంటే చాలా కాలం క్రితం జావా మంచి ప్రత్యామ్నాయం. ఇప్పుడు ఇది చాలా సమస్యలు

  9.   బెనిబర్బా అతను చెప్పాడు

    మెక్సికోలోని డిపెండెన్సీలలో ఒకటి SAT మరియు IMSS, ఇది మీరు 3 సంవత్సరాల కన్నా ఎక్కువ పాత సంస్కరణలను ఉపయోగించాల్సి ఉందని నిర్ధారించుకుంటుంది ఎందుకంటే మీరు వారి పోర్టల్‌లోకి ప్రవేశించలేకపోతే.

  10.   లూయిస్ అర్మాండో మదీనా అతను చెప్పాడు

    నేను ఎక్కువగా అడ్మినిస్ట్రేటివ్ యూజర్‌లతో కలిసి పని చేస్తాను మరియు వారు ఎప్పుడూ దేనినీ అప్‌డేట్ చేయరు మరియు వారు చాలా ప్రభుత్వ కార్యక్రమాల కోసం జావాను ఉపయోగిస్తారు మరియు తప్పనిసరిగా పెద్ద హానిని కలిగి ఉన్న కొన్ని సంస్కరణలు అవసరం, ఇది కూడా మెక్సికోలోని IMSS మరియు SAT వంటి సంస్థలు మరింత తీవ్రంగా పరిగణించాల్సిన విషయం మరియు మీ అనువర్తనాలను ఉంచండి మరియు 2004 లో లేదా అంతకుముందు సృష్టించిన సాఫ్ట్‌వేర్‌ను అటువంటి సమస్యలతో పంపిణీ చేయవద్దు

  11.   B అతను చెప్పాడు

    బాగా, నేను కొంతకాలంగా సూర్య-జావాను ఉపయోగించాను మరియు నిజం ఏమిటంటే, నేను ఎప్పుడూ కోరుకున్న ఫలితాలను పొందటానికి నాకు ఎటువంటి ఫిర్యాదులు లేవు మరియు సాంప్రదాయానికి మించి కొంచెం కూడా ఉన్నాయి. అభివృద్ధి కోసం Openjdk నేను ఎవరికైనా సిఫారసు చేసే విషయం కాదు, అయినప్పటికీ అది నా ప్రమాణం అని అనుకుంటాను. చీర్స్