Java的陰暗面

我發現了一篇有趣的文章,來源是 黑暗閱讀網 而作者是 凱莉·傑克遜·希金斯。 我留下它的翻譯:

Java的黑暗面

當Java成為網絡罪犯的新目標時,Metasploit添加了用於最新Java攻擊的新模塊

01年2011月08日| 下午08:XNUMX
凱利·傑克遜·希金斯(Kelly Jackson Higgins)
黑暗閱讀
對於開發人員來說,這是一種腐朽的工具,但是 Java的 它仍然是主要的並且仍然經常被人們遺忘的計算機,這越來越成為反派分子的目標。
為什麼將Java作為攻擊媒介?

Java的可滲透性以及在計算機上運行的過時版本的數量過多,使得Java最近成為黑客的首選。 這些數字說明了一切:根據Qualys的數據,大約80個企業系統運行的Java的版本未更新。 自2010年第三季度以來,Microsoft每個季度檢測或阻止了大約6.9萬次Java利用嘗試,在過去的27.5個月中,總共進行了12萬次利用嘗試。
總體而言,全球有3億設備使用Java,而80%的瀏覽器都使用Java。 同時,出於安全考慮,一些非常精通安全性的用戶正在禁用或完全卸載它。
本周廣泛使用的開源Matasploit滲透測試工具的開發人員為最新的Java攻擊添加了一個新模塊,該模塊濫用了Oracle Java實現Rhino中最近修補的漏洞。 研究人員最初宣布,Oracle Java SE JDK和JRE 7和6中的漏洞更新了27和更早版本。 這裡 y 這裡 然後很快就成為秘密犯罪工具包的成果,博客作者Brian Krebs發現 您的網站。 Krebs On Security報告說,該攻擊也在BlackHole犯罪軟件套件中進行。
«Java隨處可見,沒有人正確更新“ Rapid7的Metasploit和CSO的創建者兼首席架構師HD Moore說。 «很少有公司在其計算機上更新它。»
“ Oracle確實提供了Java的自動更新功能,但它要求計算機用戶具有管理權限才能使用它,這是大多數公司所不允許的“說摩爾。

微軟公司可信賴計算總監蒂姆·雷恩斯(Tim Rains)本週早些時候在一篇帖子中指出,Oracle Java軟件中的補丁漏洞已被圍困了幾個月。 «甲骨文(Oracle)Java軟件中的漏洞已受到相對較大規模的攻擊,已有數月之久,並且正如我所提到的,針對這些漏洞的安全更新已經發布了一段時間。»說下雨。 «如果您最近沒有在環境中更新Java,則應評估存在的風險。 除其他事項外,組織需要意識到他們可以運行多個版本的Java。“, 他說。

Oracle的Java安全漏洞已於上個月由Oracle修復,基本上允許Java小程序在Java沙箱外部運行任意代碼。 Rapid7的Moore表示,所謂的Java Rhino Exploit(可在包括Windows,iOS和Linux在內的多個平台上運行)在後台發生,使受到該漏洞攻擊的用戶無意識。 有趣的是,Linux現在更容易受到攻擊。 «Oracle對其進行了修補,Apple要求對其進行軟件升級。 但是大多數 賣家 Linux 供應商……尚未強制更新“說摩爾。
它通常用作多階段攻擊的第一階段,用於下載可執行文件或通過安裝Bot。
Qualyx的首席技術官Wolfgang Kandek說,支持最新漏洞利用的Tenier Metasploit將有助於提高人們對過時Java應用程序危險性的認識。 «在Metasploit上使用它的好處是,好人可以演示這種[攻擊]的工作方式“, 他說。
他說,許多組織發現在Qualys的客戶數據上運行過時的Java應用程序都是大型公司。 «趨勢是沒有良好的Java修補程序。 他在雷達下飛行“, 他說。

---- 至此,文章結束。

毫無疑問,這與我們之前提到的內容有很多關係…… Canonical將停止在其存儲庫中提供來自Oracle的Java (Ubuntu, Kubuntu的, Xubuntu上等),很明顯,是的 神諭 不允許包含更新,這是不值得的,因為用戶將很容易受到上述攻擊的攻擊。

無論如何,您對此有何看法? 😉

問候

PD: 就在昨天,我正在閱讀有關如何在諾基亞N70上安裝Linux的教程,但我還沒有決定這樣做。


18條評論,留下您的評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。

  1.   不可見15 他說:

    我已經使用IcedTea(OpenJDK,免費)很長時間了,由於幾乎不使用它,所以幾乎總是將其停用。

  2.   阿爾夫 他說:

    我使用OpenJDK大約只有3個月的時間,我不知道Java中的安全漏洞,我只是為了了解libreoffice的工作方式就將其更改了😛

  3.   埃里希姆 他說:

    我知道這幾乎是題外話,但是…諾基亞Linux? 如? 如果我可以從5800中拿出symbian m___,我將非常高興!

    1.    KZKG ^ Gaara 他說:

      您知道Symbian是Linux的第一個表親嗎? 😀
      無論如何,我仍然沒有在諾基亞上閱讀有關Linux的足夠信息...別擔心,當我找到一些不錯的信息時,我會為您提供鏈接😉

  4.   蒂娜·托萊多(Tina Toledo) 他說:

    KZKG ^ Gaara ...別打擾我,但是...翻譯中有些錯誤,例如:

    1 .-«…最近使Java成為黑帽黑客的選擇»應該是«..最近他們使Java成為惡意黑客的選擇»

    2.-英語中的“供應商”也表示“供應商”(“ Supplier”),因此短語“但是大多數Linux供應商...”仍然沒有問題“但是大多數Linux供應商...”

    問候

    1.    KZKG ^ Gaara 他說:

      沒事的😀
      它真的不打擾我,我不是專業翻譯,更不用說大聲笑了!!!
      我現在修復fix

      真的,非常感謝,理解英語對我來說並不難,用西班牙語編寫和訂購它對我來說有點複雜。

      問候

      1.    蒂娜·托萊多(Tina Toledo) 他說:

        🙂
        西班牙人也遇到同樣的事情。 包含局部表達的短語對我來說很難理解。 儘管它們已經至少已經有些逃脫了。
        “黑帽黑客”是用於表示惡意黑客的表達,將其翻譯成西班牙語肯定是大驚小怪的。

        問候和強烈的擁抱

  5.   勇氣 他說:

    你知道你在說什麼嗎

    我不知道,但我知道RAE詞典中未出現“有意識”。

    我們也有Linux供應商,例如Tito Mark和他的同伴

    1.    KZKG ^ Gaara 他說:

      讓我們看看...我的筆記本電腦是中國製造的,但是質量控制是HP的B系列,也就是說...這些組件是在中國製造的(廉價勞動力...),但是誰決定哪一個組件足夠好是製造商😉

  6.   蒂娜·托萊多(Tina Toledo) 他說:

    “ Oracle確實提供了Java的自動更新功能,但是它要求計算機用戶具有管理權限才能使用它,這是大多數公司所不允許的”
    “趨勢是沒有用於修補Java的良好流程。”

    因此問題不是Java,而是用戶沒有更新它的習慣,對嗎?

    1.    潘德夫92 他說:

      老實說,java的問題是如此的安全,如果我們將它與flash java進行比較,它的安全性要高20倍,問題在於它是一種可爬行的語言。 學習很性感,但這是一場噩夢,哈哈!

      1.    潘德夫92 他說:

        我想說*不太安全*

    2.    KZKG ^ Gaara 他說:

      很多時候,我們也沒有受到Oracle限制的可能性。
      就我而言,我正在使用OpenJDK,到目前為止沒有任何投訴🙂

  7.   何塞·米格爾(JoséMiguel) 他說:

    我嘗試在Debian Squeeze中卸載sun-java並返回默認的Java,然後……最終我退出了。

  8.   烏本特羅 他說:

    事實是,Java很久以前是一個很好的替代品,現在它只是很多問題🙁

  9.   本尼巴巴 他說:

    墨西哥的依賴項之一是SAT和IMSS,這確保您必須使用3年以上的非常舊的版本,因為如果您無法進入它們的門戶,則請使用它們。

  10.   路易斯·阿曼多·麥地那 他說:

    我主要與管理用戶一起工作,他們從不更新任何東西,他們在許多政府程序中使用Java,並且一定需要包含較大漏洞的某些版本,這也是墨西哥IMSS和SAT等機構應認真對待的主題您的應用程序,不再分發2004年或更早版本出現此類問題的軟件

  11.   B 他說:

    好吧,我使用sun-java已經有一段時間了,事實是,我沒有抱怨得到我一直想要的結果,甚至超出了常規的範圍。 儘管我認為這是我的標準,但我不建議任何人將Openjdk用於開發。 乾杯