我發現了一篇有趣的文章,來源是 黑暗閱讀網 而作者是 凱莉·傑克遜·希金斯。 我留下它的翻譯:
Java的黑暗面
當Java成為網絡罪犯的新目標時,Metasploit添加了用於最新Java攻擊的新模塊
01年2011月08日| 下午08:XNUMX
凱利·傑克遜·希金斯(Kelly Jackson Higgins)
黑暗閱讀
對於開發人員來說,這是一種腐朽的工具,但是 Java的 它仍然是主要的並且仍然經常被人們遺忘的計算機,這越來越成為反派分子的目標。
為什麼將Java作為攻擊媒介?
Java的可滲透性以及在計算機上運行的過時版本的數量過多,使得Java最近成為黑客的首選。 這些數字說明了一切:根據Qualys的數據,大約80個企業系統運行的Java的版本未更新。 自2010年第三季度以來,Microsoft每個季度檢測或阻止了大約6.9萬次Java利用嘗試,在過去的27.5個月中,總共進行了12萬次利用嘗試。
總體而言,全球有3億設備使用Java,而80%的瀏覽器都使用Java。 同時,出於安全考慮,一些非常精通安全性的用戶正在禁用或完全卸載它。
本周廣泛使用的開源Matasploit滲透測試工具的開發人員為最新的Java攻擊添加了一個新模塊,該模塊濫用了Oracle Java實現Rhino中最近修補的漏洞。 研究人員最初宣布,Oracle Java SE JDK和JRE 7和6中的漏洞更新了27和更早版本。 這裡 y 這裡 然後很快就成為秘密犯罪工具包的成果,博客作者Brian Krebs發現 您的網站。 Krebs On Security報告說,該攻擊也在BlackHole犯罪軟件套件中進行。
«Java隨處可見,沒有人正確更新“ Rapid7的Metasploit和CSO的創建者兼首席架構師HD Moore說。 «很少有公司在其計算機上更新它。»
“ Oracle確實提供了Java的自動更新功能,但它要求計算機用戶具有管理權限才能使用它,這是大多數公司所不允許的“說摩爾。
微軟公司可信賴計算總監蒂姆·雷恩斯(Tim Rains)本週早些時候在一篇帖子中指出,Oracle Java軟件中的補丁漏洞已被圍困了幾個月。 «甲骨文(Oracle)Java軟件中的漏洞已受到相對較大規模的攻擊,已有數月之久,並且正如我所提到的,針對這些漏洞的安全更新已經發布了一段時間。»說下雨。 «如果您最近沒有在環境中更新Java,則應評估存在的風險。 除其他事項外,組織需要意識到他們可以運行多個版本的Java。“, 他說。
Oracle的Java安全漏洞已於上個月由Oracle修復,基本上允許Java小程序在Java沙箱外部運行任意代碼。 Rapid7的Moore表示,所謂的Java Rhino Exploit(可在包括Windows,iOS和Linux在內的多個平台上運行)在後台發生,使受到該漏洞攻擊的用戶無意識。 有趣的是,Linux現在更容易受到攻擊。 «Oracle對其進行了修補,Apple要求對其進行軟件升級。 但是大多數 賣家 Linux 供應商……尚未強制更新“說摩爾。
它通常用作多階段攻擊的第一階段,用於下載可執行文件或通過安裝Bot。
Qualyx的首席技術官Wolfgang Kandek說,支持最新漏洞利用的Tenier Metasploit將有助於提高人們對過時Java應用程序危險性的認識。 «在Metasploit上使用它的好處是,好人可以演示這種[攻擊]的工作方式“, 他說。
他說,許多組織發現在Qualys的客戶數據上運行過時的Java應用程序都是大型公司。 «趨勢是沒有良好的Java修補程序。 他在雷達下飛行“, 他說。
---- 至此,文章結束。
毫無疑問,這與我們之前提到的內容有很多關係…… Canonical將停止在其存儲庫中提供來自Oracle的Java (Ubuntu, Kubuntu的, Xubuntu上等),很明顯,是的 神諭 不允許包含更新,這是不值得的,因為用戶將很容易受到上述攻擊的攻擊。
無論如何,您對此有何看法? 😉
問候
PD: 就在昨天,我正在閱讀有關如何在諾基亞N70上安裝Linux的教程,但我還沒有決定這樣做。
我已經使用IcedTea(OpenJDK,免費)很長時間了,由於幾乎不使用它,所以幾乎總是將其停用。
我使用OpenJDK大約只有3個月的時間,我不知道Java中的安全漏洞,我只是為了了解libreoffice的工作方式就將其更改了😛
我知道這幾乎是題外話,但是…諾基亞Linux? 如? 如果我可以從5800中拿出symbian m___,我將非常高興!
您知道Symbian是Linux的第一個表親嗎? 😀
無論如何,我仍然沒有在諾基亞上閱讀有關Linux的足夠信息...別擔心,當我找到一些不錯的信息時,我會為您提供鏈接😉
KZKG ^ Gaara ...別打擾我,但是...翻譯中有些錯誤,例如:
1 .-«…最近使Java成為黑帽黑客的選擇»應該是«..最近他們使Java成為惡意黑客的選擇»
2.-英語中的“供應商”也表示“供應商”(“ Supplier”),因此短語“但是大多數Linux供應商...”仍然沒有問題“但是大多數Linux供應商...”
問候
沒事的😀
它真的不打擾我,我不是專業翻譯,更不用說大聲笑了!!!
我現在修復fix
真的,非常感謝,理解英語對我來說並不難,用西班牙語編寫和訂購它對我來說有點複雜。
問候
🙂
西班牙人也遇到同樣的事情。 包含局部表達的短語對我來說很難理解。 儘管它們已經至少已經有些逃脫了。
“黑帽黑客”是用於表示惡意黑客的表達,將其翻譯成西班牙語肯定是大驚小怪的。
問候和強烈的擁抱
我不知道,但我知道RAE詞典中未出現“有意識”。
我們也有Linux供應商,例如Tito Mark和他的同伴
讓我們看看...我的筆記本電腦是中國製造的,但是質量控制是HP的B系列,也就是說...這些組件是在中國製造的(廉價勞動力...),但是誰決定哪一個組件足夠好是製造商😉
“ Oracle確實提供了Java的自動更新功能,但是它要求計算機用戶具有管理權限才能使用它,這是大多數公司所不允許的”
“趨勢是沒有用於修補Java的良好流程。”
因此問題不是Java,而是用戶沒有更新它的習慣,對嗎?
老實說,java的問題是如此的安全,如果我們將它與flash java進行比較,它的安全性要高20倍,問題在於它是一種可爬行的語言。 學習很性感,但這是一場噩夢,哈哈!
我想說*不太安全*
很多時候,我們也沒有受到Oracle限制的可能性。
就我而言,我正在使用OpenJDK,到目前為止沒有任何投訴🙂
我嘗試在Debian Squeeze中卸載sun-java並返回默認的Java,然後……最終我退出了。
事實是,Java很久以前是一個很好的替代品,現在它只是很多問題🙁
墨西哥的依賴項之一是SAT和IMSS,這確保您必須使用3年以上的非常舊的版本,因為如果您無法進入它們的門戶,則請使用它們。
我主要與管理用戶一起工作,他們從不更新任何東西,他們在許多政府程序中使用Java,並且一定需要包含較大漏洞的某些版本,這也是墨西哥IMSS和SAT等機構應認真對待的主題您的應用程序,不再分發2004年或更早版本出現此類問題的軟件
好吧,我使用sun-java已經有一段時間了,事實是,我沒有抱怨得到我一直想要的結果,甚至超出了常規的範圍。 儘管我認為這是我的標準,但我不建議任何人將Openjdk用於開發。 乾杯