Natagpuan ko ang isang kagiliw-giliw na artikulo, ang mapagkukunan ay darkreading.com at ang may akda ay Kelly Jackson Higgins. Iniwan ko ang pagsasalin nito:
Ang Madilim na Bahagi ng Java
Ang Metasploit ay nagdaragdag ng bagong module para sa pinakabagong pag-atake ng Java kapag ang Java ay naging bagong paboritong target ng mga cybercriminals
Dis 01, 2011 | 08:08 PM
Ni Kelly Jackson Higgins
Madilim na Pagbasa
Ito ay isang decadent tool sa bahagi ng mga developer, ngunit Java nananatili itong pangunahin at madalas pa ring nakakalimutang pagkakaroon sa mga computer na lalong nai-target ng mga kontrabida.
Bakit ang Java bilang isang vector ng pag-atake?
Ang pagtagos nito at labis na bilang ng mga hindi napapanahong bersyon na tumatakbo doon sa mga computer ay ginagawang Java ang hat na pagpipilian ng mga hacker kamakailan lamang. Sinasabi ng mga numero ang lahat: Halos 80 mga system ng enterprise ang nagpapatakbo ng luma, hindi naipadala na mga bersyon ng Java, ayon sa data ng Qualys. At mula pa noong pangatlong isang-kapat ng 2010, nakita o na-block ng Microsoft ang humigit-kumulang na 6.9 milyong Java na pagsasamantalang mga pagtatangka bawat isang-kapat, para sa isang kabuuang 27.5 milyong pagsasamantalang mga pagtatangka sa loob ng 12 buwan na panahon.
Sa pangkalahatan, 3 bilyong aparato ang gumagamit ng Java sa mundo, at 80% ng mga browser ang gumagamit. Samantala, ang ilang mga gumagamit ng napaka savvy na seguridad ay hindi pinagana o tinatanggal ang pag-uninstall nito bilang isang pag-iingat.
Ang mga tagabuo ng malawak na tanyag na open source Matasploit penetration test tool sa linggong ito ay nagdagdag ng isang bagong module para sa pinakabagong pag-atake ng Java na nag-abuso sa isang kamakailang na-patch na kahinaan sa pagpapatupad ng Java ng Oracle, Rhino. Ang kapintasan sa Oracle Java SE JDK at JRE 7 at 6 ay nag-update ng 27 at mga naunang bersyon, na paunang inihayag ng mga mananaliksik dito y dito at pagkatapos ay mabilis na nagbunga sa isang underground crimeware kit, tulad ng natuklasan ng blogger na si Brian Krebs iyong website. Iniulat ng Krebs On Security na ang pag-atake ay pinatakbo din sa loob ng BlackHole crimeware kit.
«Ang Java ay nasaan man ito gusto, at walang nag-update nito nang maayos«Sinasabi ni HD Moore, tagalikha at punong arkitekto para sa Metasploit at CSO sa Rapid7. «Napakakaunting mga kumpanya ang nag-update nito sa kanilang mga computer.»
"Nag-aalok ang Oracle ng tampok na auto-update para sa Java, ngunit nangangailangan ito ng mga pribilehiyong pang-administratibo para magamit ito ng gumagamit ng computer, isang bagay na hindi pinapayagan ng karamihan sa mga kumpanya"Sabi ni Moore.
Ang direktor ng Trusted Computing ng Microsoft, si Tim Rains, nang maaga sa linggong ito ay itinuro sa isang post na nag-patch ng mga bug sa software ng Java ng Oracle na nasa ilalim ng paglikos sa loob ng maraming buwan. «Ang mga kahinaan sa Java software ng Oracle ay na-atake sa isang medyo malaking sukat sa loob ng maraming buwan ngayon, at tulad ng nabanggit ko, ang mga pag-update sa seguridad para sa mga kahinaan na ito ay magagamit nang ilang oras.»Sinasabi ang Mga Pag-ulan. «Kung hindi mo na-update ang Java sa iyong kapaligiran kamakailan, dapat mong suriin ang mga panganib na naroroon. Kabilang sa iba pang mga bagay, kailangang magkaroon ng kamalayan ang mga organisasyon na maaari silang magkaroon ng maraming mga bersyon ng Java na tumatakbo.", Sabi niya.
Ang Java flaw ng Oracle, na na-patch ng Oracle noong nakaraang buwan, karaniwang pinapayagan ang isang applet ng Java na magpatakbo ng di-makatwirang code sa labas ng Java sandbox. Sinabi ni Moid ng Rapid7 na ang tinaguriang Java Rhino Exploit (na gumagana sa maraming mga platform, kabilang ang Windows, iOS, at Linux) ay nangyayari sa background, walang malay sa gumagamit na na-hit ng exploit. Kapansin-pansin, ang Linux ngayon ay mas mahina laban sa pag-atake. «Na-patch ito ng Oracle, hiniling ng Apple ang isang pag-update ng software. Ngunit ang karamihan sa nagbebenta Mga tagabigay ng Linux ?? ay hindi nangangailangan ng mga update"Sabi ni Moore.
Karaniwan itong ginagamit bilang unang yugto sa isang pag-atake ng maraming yugto, ginagamit upang mag-download ng isang maipapatupad na file o sa pamamagitan ng pag-install ng isang bot.
Si Wolfgang Kandek, CTO ng Qualyx, ay nagsabi na ang nangungupahan ng Metasploit na sumusuporta sa pinakabagong pagsasamantala ay makakatulong na itaas ang kamalayan tungkol sa panganib ng hindi napapanahong mga Java apps. «Ang mga pakinabang ng pagkakaroon nito sa Metasploit ay ang magagandang lalaki ay maaaring ipakita kung paano ito gumagana [atake]", sabi niya.
Marami sa mga samahang natagpuan ang pagpapatakbo ng hindi napapanahong mga Java apps sa data ng kostumer ng Qualys ay malalaking kumpanya, sinabi niya. «Mayroong pagkahilig na walang magagandang proseso para sa pagtambal sa Java. Lumilipad siya sa ilalim ng radar", Sabi niya.
---- At dito nagtatapos ang artikulo.
Walang alinlangan, marami itong kinalaman sa nabanggit natin dati ... iyon ay, tungkol sa kung ano Ihihinto ng Canonical ang pag-aalok ng Java mula sa Oracle sa mga repository nito (Ubuntu, Kubuntu, Xubuntu, atbp), malinaw naman, oo Orakulo Hindi pinapayagan na isama ang mga pag-update, hindi ito sulit, dahil ang gumagamit ay masyadong mahina laban sa mga pag-atake tulad ng mga nabanggit sa itaas.
Gayunpaman, ano ang palagay mo tungkol dito? 😉
Regards
PD: Kahapon lang nagbabasa ako ng isang tutorial tungkol sa kung paano posible na mai-install ang Linux sa aking Nokia N70, hindi ko pa rin napagpasyahang gawin ito LOL !!!
Gumagamit ako ng IcedTea (OpenJDK, libre) ng mahabang panahon at halos palaging hindi ko ito pinagana sapagkat hindi ko ito magamit ...
Mayroon akong maliit, mga 3 buwan gamit ang OpenJDK, hindi ko alam eksakto ang depekto sa seguridad sa java, binago ko ito upang makita lamang kung paano gumana ang librengoffice 😛
Alam kong halos offtopic ito ngunit ... Linux sa Nokia? Bilang? Kung maaari kong kunin ang symbian m___ mula sa aking 5800 Masisiyahan ako!
Alam mo bang si Symbian ang unang pinsan ng Linux? 😀
Gayunpaman, wala pa rin akong nabasang sapat na impormasyon tungkol sa Linux na ito sa Nokia ... huwag magalala, kapag nakakita ako ng disenteng impormasyon bibigyan kita ng mga link 😉
KZKG ^ Gaara ... huwag mo akong abalahin ngunit… may ilang mga pagkakamali sa pagsasalin, halimbawa:
1 .- «… Ginagawa ang Java na pagpipilian ng huli na black hacker ng hat» ay dapat na «.. nitong mga nakaraang araw ay ginagawa nilang Java ang pagpipilian ng mga nakakahamak na hacker»
2.- Ang "Vendor" sa Ingles ay nangangahulugang "Tagatustos" ("Tagatustos") kaya ang pariralang "Ngunit karamihan sa mga vendor ng Linux ..." ay nananatili nang walang problema "Ngunit karamihan sa mga vendor ng Linux ..."
Regards
Nah for nothing 😀
Hindi talaga ako nakakaabala, hindi ako isang propesyonal na tagasalin, higit na mas mababa ang LOL !!!
Inaayos ko ito ngayon 😉
Talaga, maraming salamat, ang pag-unawa sa Ingles ay hindi mahirap para sa akin, kung ano ang medyo kumplikado para sa akin ay ang pagsulat nito at pag-order nito sa Espanyol 😀
Regards
🙂
Ang parehong bagay ang nangyayari sa akin sa Espanyol; Ang mga pariralang naglalaman ng mga lokal na ekspresyon ay mahirap kong maunawaan. Kahit na kahit papaano sila ay nakatakas pa rin sa akin.
Ang "Black hat hacker" ay isang expression na ginamit upang italaga ang nakakahamak na hacker at ito ay tiyak na isang abala upang isalin ito sa Espanyol.
Pagbati at isang malakas na yakap
Hindi ko alam ngunit may kamalayan ako na ang "malay" ay hindi lilitaw sa diksyunaryo ng RAE.
Mayroon din kaming mga vendor ng Linux tulad ni Tito Mark at ng kanyang mga alipores
Tingnan natin ... ang aking laptop ay Ginawa sa Tsina, ngunit ang kontrol ng QUALITY ay serye ng B ng HP, iyon ay… ang mga sangkap ay gawa sa Tsina (murang paggawa ...) ngunit kung sino ang magpapasya kung aling mga sangkap ang sapat na mahusay ay ang gumawa 😉
"Nag-aalok ang Oracle ng isang pagpapaandar na awtomatikong pag-update para sa Java, ngunit nangangailangan ito ng mga pribilehiyong pang-administratibo para magamit ito ng gumagamit ng computer, isang bagay na hindi pinapayagan ng karamihan sa mga kumpanya"
"May ugali na walang magagandang proseso para sa pagtambal sa Java."
Kaya ang problema ay hindi Java ngunit ang mga gumagamit ay walang ugali ng pag-update nito, hindi ba?
Sa totoo lang, ang problema sa java ay seguridad, kung ihinahambing namin ito sa flash ito ay 20 beses na mas ligtas na java, ang problema ay ito ay isang wika na gumagapang. ang seksi nitong malaman ngunit isang bangungot LOL!
Nais kong sabihin * hindi gaanong seguridad *
Maraming beses na hindi rin tayo nabibigyan ng posibilidad, Oracle kasama ang mga paghihigpit nito.
Para sa aking bahagi ay gumagamit ako ng OpenJDK, at hanggang ngayon walang mga reklamo 🙂
Sinubukan ko sa Debian Squeeze upang i-uninstall ang sun-java at bumalik sa mga default, at isang ... na sa huli ay umalis ako.
ang totoo ay ang java ay isang mabuting alternatibo matagal na ngayon marami lang itong mga problema 🙁
Ang isa sa mga dependency sa Mexico ay SAT at IMSS na tinitiyak na kailangan mong gumamit ng mga napaka-lumang bersyon ng higit sa 3 taon dahil kung hindi mo maipasok ang kanilang mga portal.
Gumagawa ako ng halos lahat sa mga gumagamit ng pang-administratibo at hindi sila nag-a-update ng anupaman at gumagamit sila ng java para sa maraming mga programa ng gobyerno at kinakailangang mangailangan ng ilang mga bersyon na may kasamang malalaking kahinaan, ito rin ay isang paksa na dapat mas seryosohin ng mga institusyon tulad ng IMSS at SAT sa Mexico at panatilihin ang iyong mga application at hindi na namamahagi ng software na nilikha noong 2004 o mas maaga sa mga ganitong problema
Sa gayon, gumamit ako ng sun-java nang medyo matagal at ang totoo ay wala akong mga reklamo sa pagkuha ng mga resulta na palagi kong nais at kahit na lampas sa maginoo. Ang openjdk para sa pag-unlad ay hindi isang bagay na inirerekumenda ko sa sinuman kahit na sa palagay ko iyon ang aking pamantayan. Cheers