Bu hafta Java hakkında çok konuşma yapıldı. İlk başta, sürüm 7 güncelleme 10 çok savunmasız olduğu tartışıldı. O kadar savunmasız ve kritikti ki, çoğu kişi Java'nın bilgisayarlarından tamamen kaldırılmasını tavsiye etti.
0 günlük Un sıfır gün saldırısı (İngilizce sıfır gün saldırısı veya 0 günlük saldırı), genel olarak kişilerin ve üreticinin bilmediği güvenlik açıkları bilgisi sayesinde kötü amaçlı kod yürütmeyi amaçlayan bir uygulama veya sisteme yapılan saldırıdır. ürün. Bu, henüz düzeltilmediklerini varsayar. Bu tarz sömürmek nihayet halka açık forumlarda yayınlanana kadar genellikle potansiyel saldırganların safları arasında dolaşır. Sıfır gün saldırısı, en tehlikeli araçlardan biri olarak kabul edilir. bilgisayar savaşı1
Güvenlik açığı oldukça ciddiydi çünkü Yazılımın kullanıcının haberi olmadan sistemde çalıştırılmasına ve kurulmasına, bu bilginin çalınmasına ve hemen hemen her şeyi yapmasına izin verdi.
Son günlerde Oracle'ın "dehası", Java 0 güncelleme 7 adı verilen 11 günlük bir yama ile yeni sürümünü yayınladı.
Ancak çoğu, güvenlik açığının hala devam ettiğini iddia ediyor. Daha doğrusu, tam olarak yamalanmamış. Uzmanlara göre, Oracle'ın bu güvenlik açığını tam olarak düzeltmesinin 2 yıla kadar sürebileceğini söylüyorlar.
Oracle'dan bize Java kontrol paneline gitmemizi ve güvenlik seviyesini ayarlamamızı ve orta seviyeden yükseğe çıkarmamızı teklif ediyorlar ve bu da bizim iznimiz olmadan kötü amaçlı kod çalıştırmayı daha zor hale getirecek. Ama dikkatli olun "Bunu daha da zorlaştıracak" Bu onu durduramaz.
Kişisel olarak Java zamanının bittiğini söylüyorum. Blogları okuduğumdan beri, Java her zaman çok savunmasız olarak görüldü ve gerçek şu ki, Java'nın yüklü olup olmadığını asla öğrenemiyorum. Demek istediğim, farkı fark etmiyorum. Şahsen uzun zaman önce kaldırdım ve hayatım aynı kaldı. Elbette daha güvenli 😀
Masaüstü kullanıcıları iseniz bunu tavsiye ederim. Yaygın ve vahşi, Java yüklemeyin. Flash ile yeteri kadar sahibiz.
Bunu okuduğumda neden küçük bir gülümsemeye kapıldığımı bilmiyorum. Belki benim; D
Biz zaten iki haha
Openjdk bile değil mi?
Ana banka kullanıyorsanız veya karmaşık siteler kullanıyorsanız, bunları kullanmak için büyük olasılıkla Java'nın yüklü olması gerekir - Java RTE, bu sitelerin çoğunun çalışmadığı yerlerde OpenJDK değil.
Msx haklıysa, benim durumumda da örneğin üniversitemin not ve ders kayıt sistemine girmem gerekiyor. Bu arada, yanlış anlamayın, ancak güvenlik açığının güncellemeden sonra hala devam ettiğini iddia eden kaynakları koyabilir misiniz? Java kullanımı gerekli bir kötülük olduğu için daha fazlasını öğrenmekle ilgileniyorum.
Ben her zaman bu kısımlarda Java'nın en büyük detraktörü oldum. Gerçek şu ki, bu tür kritik güvenlik açıkları her zaman bu dilde görünüyor ve bu kadar düşük kaliteli bir ürünün kullanımını reddetmemin birçok nedeninden biri bu.
Hadi, birinin bana Java'nın bu olduğunu, Android'in öteki olduğunu söylemesi uzun sürmüyor… Java'yı sıçmak.
Küçük bir düzeltme: Güvensiz olan dil değil (sınıfları ve deve durumu korkunçtur, evet), Java'nın anında derlendiği sanal makinedir.
Açıkçası bunu belirtmeme hatam, bazen çok genelleme eğilimindeyim.
Ama Java ile ilgili her şeyi sevmiyorum.
Android'in kullandığı korkunç, yavaş, arkaik ve acı verici dalvik motoru dahil.
Ugh, bir fikri olan ve bir şeyleri olduğu gibi söyleme korkusu olmayan insanları bulmak güzel.
Neyse ki, olgunlaşmanın son aşamasında olan çok sayıda alternatifle gelecek ümit verici: D: D
Tüm Java'yı Python ile değiştirme zamanı ... Sanırım. Yazarın dediği gibi, Java'nın zamanı doldu.
Tamamen katılıyorum.
Yani eğer python'un derlenmesine gerek olmadığını kabul edersem, ancak jdownloader olmadan nasıl indirebilirim? Tucan benim için çalışmıyor ve daha da kötüsü, mevduat dosyası bağlantılarının çalıştığı çok protokollü bir indirme programını kim öneriyor?
saban demiri
Umarım patronum bunu okumaz .. eğer kendimi meydanda el işi satmaya adamayacaksam… hehehe
Tamam haberlerle; her neyse, bu Java güvenlik açığı hakkında okuduğum sitelerde sadece Windows ve OS X kullanıcılarını uyarıyorlar, GNU / Linux'tan hiç bahsetmedim, her durumda, her durumda olduğu gibi, Temsil ettiği tehlike, tarama ve güvenlik alışkanlıklarımıza bağlı olacaktır. Öte yandan, Java yalnızca tarayıcılar tarafından kullanılmadığı için tamamen devre dışı bırakılması ve / veya kaldırılması konusunda pek net değilim; Yakından bakarsanız, LibreOffice ve OpenOffice paketleri onu varsayılan olarak yükler ve kullanır, bu yüzden "kaldırmanın" ne kadar etkili olacağından emin değilim, eğer birisi konu hakkında daha kesin bir fikre sahipse, bunu ayrıntılı olarak açıklamaktan memnun olurum.
Linux IS savunmasızdır:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
Şüpheli güvenlik sayfalarını ziyaret etmeyerek riski azaltmanıza rağmen, enfeksiyon, güvenliği ihlal edilmiş bir sayfayı (okulunuzun web sitesi, ticari bir mağaza vb.) Ziyaret etmesinden kaynaklanabilir.
Linux daha güvenli olmasına rağmen, dokunulmaz olduğu efsanesini beslemeyin.
Böyle değil.
GNU / Linux güvenlidir, güvensiz olan Java'dır.
Windows, Java ile veya Java olmadan güvensizdir.
Bir SSH sunucusunu 22 numaralı bağlantı noktasında root erişimiyle ve şifresiz olarak açık bırakırsanız, mantıksal olarak evde Pancho olarak girerler.
Yem FUD'si yok.
Ve ekliyorum: Java ile ilgili sorun, sanal makinenin düşük seviyeli gereksinimleridir, bu yeni ışıkta şu açıktır:
Sanal makinenin çalışabilmesi için sisteme düşük seviyeli erişime ihtiyacı vardır, bu da başlı başına bir tasarım hatası ve bir saldırı vektörüdür çünkü sistemin (bu durumda GNU / Linux), kelimenin tam anlamıyla hareket etmesi veya kendini savunması mümkün değildir Java anahtarlarını verir.
Mantıksal olarak, sanal makine çalışabilmek için sisteme sınırsız erişim talep ederse, bu sistemin kendisinin en zayıf noktası olacak ve sistemin genel güvenliği, çekirdek alanında veya kullanıcı alanında çalışması gereken uygulamaların güvenliği ile işaretlenecektir. ayrıcalıklı.
Kendinizi belgeleyin, okuyun, anlayın ve - lütfen - FUD'yi yaymayın.
Hatırladığım ya da anladığım kadarıyla herhangi bir uygulamanın Kernel'de bu kadar düşük bir eyleme erişmesine imkan yok.
Okudum ama şu anda nerede olduğunu hatırlamıyorum ve gerçek şu ki bu konuda tartışacak kadar da bilmiyorum ... O kadar sorumsuz değilim ama yine de yorum yapmak istedim.
Libreoffice'im var ve java yüklemedim.
Windows durumunda, XP ve 7'yi etkiler. Windows 8 ve Explorer 10'u sorunsuz bir şekilde etkiler. Linux'lu PC'de, uçma ihtimaline karşı tarayıcıları zaten devre dışı bıraktım.
Peki, Linux'ta Sun Java kullanıyorsanız, bunun güncellenmesi biraz zaman alır. Özellikle de Debian gibi Distros kullanıyorsanız. Daha sonra genellikle manuel .deb'leri derleyin veya kurun. Bu nedenle kendilerini güncellemezler.
sadece eklentileri devre dışı bırakın, kaldırmaya gerek yok
Bir eklenti kurup onu devre dışı bırakmanın amacı nedir?
Sorun çözüldüğünde onu etkinleştirirsiniz, sanırım yama ile güncellenecektir.
Problemi çözdüklerinde ve yeni bir versiyon yayınladıklarında, onları tekrar etkinleştirirsiniz, Juan Carlos'un dediği gibi yamalar hariç, çünkü onları ne kadar kaldırırlarsa kaldırsınlar, problem devam ediyor gibi görünüyor.
@ Charlie kahverengi
Libreoffice openjdk yükler, java kurmaz, sorun yok, artık msx dediği gibi, evet
Yupiiii, güvendeyiz.
Openjdk nasıl?
Ben bir minecrafterım .. Bu kadar kolay pes etmek istemiyorum 😛
Bakın benim için bir şeyi açıklığa kavuşturun, bu hata openjdk'yi etkiler mi? çünkü linux'un çoğunun openjdk kullandığını bildiğim için, çünkü okuduğum kadarıyla bu bir hata veya oracle java hatası