Tôi đã tìm thấy một bài báo khá thú vị, nguồn là darkreading.com và tác giả là Kelly Jackson Higgins. Tôi để lại bản dịch của nó:
Mặt tối của Java
Metasploit thêm mô-đun mới cho các cuộc tấn công Java mới nhất khi Java trở thành mục tiêu ưa thích mới của tội phạm mạng
Ngày 01 tháng 2011 năm 08 | 08:XNUMX chiều
Bởi Kelly Jackson Higgins
Đọc tối
Nó là một công cụ suy đồi đối với các nhà phát triển, nhưng Java nó vẫn là sự hiện diện máy tính chính và vẫn thường xuyên bị lãng quên, ngày càng bị các nhân vật phản diện nhắm mục tiêu.
Tại sao Java là một vector tấn công?
Khả năng thâm nhập của nó và số lượng không đáng kể các phiên bản lỗi thời đang chạy trên máy tính đang khiến Java trở thành lựa chọn của các hacker gần đây. Theo dữ liệu từ Qualys, khoảng 80 hệ thống doanh nghiệp đang chạy các phiên bản Java lỗi thời, chưa được vá lỗi. Và kể từ quý 2010 năm 6.9, Microsoft đã phát hiện hoặc chặn khoảng 27.5 triệu lần khai thác Java mỗi quý, trong tổng số 12 triệu lần khai thác trong khoảng thời gian XNUMX tháng đó.
Nhìn chung, 3 tỷ thiết bị sử dụng Java trên thế giới và 80% trình duyệt sử dụng Java. Trong khi đó, một số người dùng rất hiểu biết về bảo mật đang vô hiệu hóa hoặc gỡ cài đặt hoàn toàn để đề phòng.
Các nhà phát triển của công cụ kiểm tra thâm nhập Matasploit nguồn mở phổ biến rộng rãi trong tuần này đã thêm một mô-đun mới cho cuộc tấn công Java mới nhất lạm dụng một lỗ hổng được vá gần đây trong triển khai Java của Oracle, Rhino. Lỗ hổng trong Oracle Java SE JDK và JRE 7 và 6 cập nhật 27 và các phiên bản trước đó, được các nhà nghiên cứu công bố ban đầu đây y đây và sau đó nhanh chóng thành hiện thực trong một bộ phần mềm tội phạm bí mật, như blogger Brian Krebs đã phát hiện ra trong trang web của bạn. Krebs On Security báo cáo rằng cuộc tấn công cũng đang được thực hiện trong bộ phần mềm tội phạm BlackHole.
«Java ở bất cứ đâu nó muốn và không ai cập nhật nó đúng cách«HD Moore, người sáng tạo và kiến trúc sư trưởng của Metasploit và CSO tại Rapid7 nói. «Rất ít công ty cập nhật nó trên máy tính của họ.»
“Oracle có cung cấp tính năng tự động cập nhật cho Java, nhưng nó yêu cầu đặc quyền quản trị để người dùng máy tính sử dụng nó, điều mà hầu hết các công ty không cho phép"Moore nói.
Giám đốc Máy tính Tin cậy của Microsoft, Tim Rains, đầu tuần này đã chỉ ra trong một bài đăng rằng các bản vá lỗi trong phần mềm Java của Oracle đã bị bao vây trong nhiều tháng. «Các lỗ hổng trong phần mềm Java của Oracle đã bị tấn công trên quy mô tương đối lớn trong vài tháng và như tôi đã đề cập, các bản cập nhật bảo mật cho các lỗ hổng này đã có sẵn trong một thời gian.»Nói Rains. «Nếu gần đây bạn chưa cập nhật Java trong môi trường của mình, bạn nên đánh giá những rủi ro hiện có. Trong số những điều khác, các tổ chức cần lưu ý rằng họ có thể có nhiều phiên bản Java đang chạy.", Anh ta nói.
Lỗ hổng Java của Oracle, được Oracle vá vào tháng trước, về cơ bản cho phép một ứng dụng Java chạy mã tùy ý bên ngoài hộp cát Java. Moore của Rapid7 nói rằng cái gọi là Java Rhino Exploit (hoạt động trên nhiều nền tảng, bao gồm Windows, iOS và Linux) xảy ra ở chế độ nền, người dùng bị khai thác vô thức. Điều thú vị là Linux hiện đang dễ bị tấn công hơn. «Oracle đã vá nó, Apple yêu cầu nâng cấp phần mềm. Nhưng hầu hết các người bán Các nhà cung cấp Linux ?? không yêu cầu cập nhật"Moore nói.
Điều này thường được sử dụng như một giai đoạn đầu tiên trong một cuộc tấn công nhiều giai đoạn, được sử dụng để tải xuống một tệp thực thi hoặc bằng cách cài đặt một bot.
Wolfgang Kandek, CTO của Qualyx, cho biết Tenier Metasploit hỗ trợ khai thác mới nhất sẽ giúp nâng cao nhận thức về mối nguy hiểm của các ứng dụng Java lỗi thời. «Lợi ích của việc có nó trên Metasploit là những người tử tế có thể chứng minh cách hoạt động của [cuộc tấn công] này", anh ta nói.
Ông nói, nhiều tổ chức đang chạy các ứng dụng Java lỗi thời trên dữ liệu khách hàng của Qualys là các công ty lớn. «Có xu hướng không có quy trình tốt để vá lỗi Java. Anh ấy bay dưới radar", Anh ta nói.
---- Và đây là bài viết kết thúc.
Không còn nghi ngờ gì nữa, điều này liên quan rất nhiều đến những gì chúng tôi đã đề cập trước đây ... nghĩa là, liên quan đến những gì Canonical sẽ ngừng cung cấp Java từ Oracle trong kho của nó (Ubuntu, Kubuntu, Xubuntu, v.v.), rõ ràng là có Oracle không cho phép bao gồm các bản cập nhật, nó không đáng, vì người dùng sẽ rất dễ bị tấn công như những cuộc tấn công đã đề cập ở trên.
Dù sao, bạn nghĩ gì về nó? 😉
Liên quan
PD: Mới hôm qua tôi đã đọc một hướng dẫn về cách có thể cài đặt Linux trên Nokia N70 của tôi, tôi vẫn chưa quyết định làm điều đó LOL !!!
Tôi đã sử dụng IcedTea (OpenJDK, miễn phí) trong một thời gian dài và hầu như lúc nào tôi cũng ngừng kích hoạt nó vì tôi hầu như không sử dụng nó ...
Tôi có ít, khoảng 3 tháng sử dụng OpenJDK, tôi không biết chính xác lỗi bảo mật trong java, tôi đã thay đổi nó chỉ để xem cách libreoffice hoạt động 😛
Tôi biết điều này gần như là bất thường nhưng… Linux trên Nokia? Như? Nếu tôi có thể lấy symbian m___ ra khỏi 5800 của mình, tôi sẽ rất vui!
Bạn có biết rằng Symbian là người anh em họ đầu tiên của Linux không? 😀
Dù sao, tôi vẫn chưa đọc đủ thông tin về Linux trên Nokia ... đừng lo lắng, khi tôi tìm thấy một số thông tin tốt, tôi sẽ cung cấp cho bạn liên kết 😉
KZKG ^ Gaara… đừng bận tâm với tôi nhưng… có một số lỗi trong bản dịch, ví dụ:
1 .- «… đang biến Java trở thành lựa chọn muộn màng của hacker mũ đen» nên «.. gần đây họ khiến Java trở thành lựa chọn của các hacker độc hại»
2.- «Vendor» trong tiếng Anh cũng có nghĩa là «Nhà cung cấp» («Nhà cung cấp») nên cụm từ «Nhưng hầu hết các nhà cung cấp Linux ...» vẫn không có vấn đề gì «Nhưng hầu hết các nhà cung cấp Linux ...»
Liên quan
Không có gì đâu 😀
Nó thực sự không làm phiền tôi, tôi không phải là một dịch giả chuyên nghiệp, ít hơn nhiều LOL !!!
Tôi sửa nó ngay bây giờ 😉
Thực sự, cảm ơn bạn rất nhiều, hiểu tiếng Anh không khó đối với tôi, những gì hơi phức tạp đối với tôi là viết nó và đặt hàng nó bằng tiếng Tây Ban Nha 😀
Liên quan
????
Điều tương tự cũng xảy ra với tôi với tiếng Tây Ban Nha; Tôi khó hiểu các cụm từ chứa các biểu thức địa phương. Mặc dù họ đã ít nhất một số vẫn thoát khỏi tôi.
"Tin tặc mũ đen" là một cụm từ dùng để chỉ tên tin tặc độc hại và chắc chắn việc dịch nó sang tiếng Tây Ban Nha là một điều phiền phức.
Lời chào và một cái ôm mạnh mẽ
Tôi không biết nhưng tôi biết rằng "ý thức" không xuất hiện trong từ điển RAE.
Chúng tôi cũng có các nhà cung cấp Linux như Tito Mark và tay sai của anh ta
Xem nào ... máy xách tay của tôi là Made in China, nhưng kiểm tra CHẤT LƯỢNG là dòng B của HP, tức là ... linh kiện được sản xuất tại Trung Quốc (nhân công rẻ ...) nhưng người quyết định linh kiện nào đủ tốt là nhà sản xuất. 😉
"Oracle cung cấp chức năng tự động cập nhật cho Java, nhưng nó yêu cầu đặc quyền quản trị để người dùng máy tính sử dụng nó, điều mà hầu hết các công ty không cho phép"
"Có một xu hướng là không có quy trình tốt để vá lỗi Java."
Vậy vấn đề không phải ở Java mà là người dùng không có thói quen cập nhật nó, có đúng không?
Thành thật mà nói, vấn đề của java là rất bảo mật, nếu chúng ta so sánh nó với flash thì nó bảo mật gấp 20 lần java, vấn đề là nó là một ngôn ngữ thu thập dữ liệu. thật hấp dẫn để học nhưng đó là một cơn ác mộng LOL!
Tôi muốn nói * không quá an toàn *
Nhiều khi chúng tôi cũng không được cung cấp khả năng, Oracle với những hạn chế của nó.
Về phần mình, tôi đang sử dụng OpenJDK và cho đến nay không có gì phàn nàn 🙂
Tôi đã cố gắng gỡ cài đặt sun-java trong Debian Squeeze và quay lại các cài đặt mặc định, và… cuối cùng thì tôi đã thoát.
sự thật là java đã là một giải pháp thay thế tốt cách đây rất lâu rồi bây giờ nó chỉ có rất nhiều vấn đề 🙁
Một trong những phụ thuộc ở Mexico là SAT và IMSS, đảm bảo rằng bạn phải sử dụng các phiên bản rất cũ hơn 3 năm, vì nếu bạn không thể vào cổng của họ.
Tôi chủ yếu làm việc với người dùng quản trị và họ không bao giờ cập nhật bất cứ thứ gì và họ sử dụng java cho nhiều chương trình của chính phủ và điều đó nhất thiết phải yêu cầu một số phiên bản nhất định có các lỗ hổng bảo mật lớn, đây cũng là chủ đề mà các tổ chức như IMSS và SAT ở Mexico nên xem xét nghiêm túc hơn giữ các ứng dụng của bạn và không còn phân phối phần mềm được tạo từ năm 2004 trở về trước với các vấn đề như vậy
Chà, tôi đã sử dụng sun-java được một thời gian và sự thật là tôi không có gì phàn nàn về kết quả mà tôi luôn mong muốn và thậm chí còn vượt xa một chút so với thông thường. Openjdk để phát triển không phải là thứ mà tôi muốn giới thiệu cho bất kỳ ai, mặc dù tôi cho rằng đó là tiêu chí của tôi. Trân trọng