零舞  ( [æ±äº¬ç†ç§‘å¤§å¦ ã‚½ãƒ¼ãƒ©ãƒ³ (Soran...
目录:
- 现在浏览器和操作系统很难穿透,数据窃贼已经改变了他们的策略,针对其余两个最薄弱的环节:第三方浏览器插件或附加组件和用户自己。随着第三方插件的推出,Java仍然被滥用,作为自动“驱车”式攻击的工具,通常由黑市上出售的低成本漏洞攻击工具提供支持。福布斯在3月份发布了一份价格清单,显示恶意买家将支付独家访问新的所谓零日漏洞的费用。 40,000美元至100,000美元的奖励对于开发人员来说很早就开始工作和延迟工作的动机是足够的。
- 虽然Oracle(以及之前的Sun)定期提供更新以解决Java安全问题,但在所有数百万最终用户的计算机和设备上安装这些更新仍然是一项挑战。
- 有些专家建议虚拟化作为需要使用这些基于Java的服务的企业的解决方法。将它安装在虚拟机中可以使它远离关键系统。家庭用户,尤其是专注于Facebook和Web的用户,可能完全可以免除Java。HTML5的粉丝指出,这种替代方案提供了Java早期在Web开发中实现的多媒体功能。它是Adobe开发和AT&T工作的重点,今年似乎正在获得发展势头,虽然它的目标Flash比Java更多。
现在是时候给Java启动了吗?专家说是。
Java是旨在使网络更有趣和更具互动性的编程语言,它已成为PC和Mac防御外部威胁的最薄弱环节之一。考虑最新的Java漏洞,这是当前恶意软件发行商正在利用的一个弱点:当Oracle,Java的制造商发布紧急更新以修复软件时,安全分析师报告说,即使是热销的代码也包含其他漏洞。
但是Java最新的安全问题远不是独一无二的。例如,安全公司Sophos将去年四月份闪回恶意软件的攻击归咎于潜在的Java漏洞,该病毒感染了五分之一的Mac。[
] [进一步阅读:如何从Windows PC删除恶意软件]安全专家说,奖励超过了奖励。 “我认为90%的用户不再需要Java,”安全软件公司AlienVault的创始人兼首席黑客官员Dominique Karg说。 “我认为自己是一个'超级用户',并且最后也是唯一一次我意识到我在我的Mac上安装了Java是当我必须更新它时。”
如果你拥有一台PC,你就会知道当你感到不安全感时被要求无数次更新Windows PC。它可能只是中度破坏性的,但它每月提醒您,您的计算机及其中包含的个人信息仍然是犯罪分子的目标。
多年来,苹果和微软都加强了系统的防御能力。 Mac操作系统已经接近漏洞,并且该公司不再提供预装Java的新设备。自从2008年底Conficker蠕虫病毒爆发以来,微软公司已经发布了一个全面的法庭新闻报道,以消除操作系统级的漏洞,并且从那以后没有可比的蠕虫攻击Windows系统。
Mozilla和Opera以及互联网制造商微软Explorer在过去十年中花费了更多的时间,通过无休止的更新来强化浏览器以抵御攻击。例如,Mozilla列出了2237个错误 - 并非所有的安全错误 - 在8月28日发布的Firefox浏览器的第15版中已修复。
但即使您的操作系统和浏览器安全性受Fort Knox ,坏人似乎总是在装甲中找到新的差距。
Java:安全链中的弱链接
现在浏览器和操作系统很难穿透,数据窃贼已经改变了他们的策略,针对其余两个最薄弱的环节:第三方浏览器插件或附加组件和用户自己。随着第三方插件的推出,Java仍然被滥用,作为自动“驱车”式攻击的工具,通常由黑市上出售的低成本漏洞攻击工具提供支持。福布斯在3月份发布了一份价格清单,显示恶意买家将支付独家访问新的所谓零日漏洞的费用。 40,000美元至100,000美元的奖励对于开发人员来说很早就开始工作和延迟工作的动机是足够的。
Java的无处不在的部分吸引力。 “这几乎是对Java开发人员的一种赞扬,”佛罗里达州安全研究非营利组织Team Cymru的全球宣传总监Steve Santorelli说。与其他浏览器插件不同,Java几乎可以在任何可以想象的操作系统上运行。 “这归结于恶意软件的经济性,”Santorelli说。恶意软件作者希望他们在开发投资方面获得最大的回报,这意味着恶意软件的目标市场可能最广。
Java能够实现这一投资,尽管这可能会导致甲骨文首席执行官拉里埃里森(Larry Ellison)的畏缩。 Oracle在2009年收购Sun Microsystems时继承了Java,但该公司不愿意为此报告发表评论。
修复,插入和修补Java
虽然Oracle(以及之前的Sun)定期提供更新以解决Java安全问题,但在所有数百万最终用户的计算机和设备上安装这些更新仍然是一项挑战。
安全公司Secunia跟踪安装在最终用户PC上的软件,每季度报告Java漏洞以及它们修复的速度。该公司第四季度Java安全概要报告称,2011年Oracle发布了五个咨询公告,警告涉及Java的58个漏洞。在公告发布的那一天,仅有五个案例中的三个发布了修补程序或更新。在2011年,78%的恶意软件攻击针对易受攻击的第三方应用程序,其中包括Java以及Adobe的Flash和Acrobat。
保留计算机上安装的任何联网软件的旧版易受攻击的版本是一种灾难。
“在很多情况下,Java的内置升级功能会彻底失败,导致普通用户被困,”反恶意软件公司FireEye的高级职员科学家Darien Kindlund说,“自从主流采用64位Windows 7,Java(以及其他附加组件,如Flash)受32位/ 64位“分解”影响,“Kindlund解释说。 “仅仅因为你安装了修补过的64位版本的Java,并不意味着你得到了完全的保护,如果系统中仍然安装了易受攻击的32位Java版本(反之亦然)。”
AlienVault的Karg指出,Java正确地不再是大多数操作系统的一部分。 “Java不应该预装普通的操作系统,”Karg说,“默认情况下,它不会随Linux一起提供,最新的Windows版本也不会捆绑它”。现在,几周后Flashback恶意软件爆发袭击了OSX,众所周知,Apple发布了自己的Java更新,这有时意味着Mac用户在使用Windows的同行之后几周或几个月无法访问最新版本。
Java Jitters
这一切都为最终用户(也就是你)是否应该将Java留在你的计算机上并可能完全卸载它而不是更新问题留下了一个问题。
“如果你将家用PC用于Facebook和YouTube,仍然对歹徒感兴趣,但是如果你是管理工资或财务的业务,就不会感兴趣的程度,“Santorelli说,”但是,Java运行Android操作系统的底层框架,并由公司使用像思杰推出GoToMeeting,GoToWebinar和GoT oMyPC服务通过浏览器加载
有些专家建议虚拟化作为需要使用这些基于Java的服务的企业的解决方法。将它安装在虚拟机中可以使它远离关键系统。家庭用户,尤其是专注于Facebook和Web的用户,可能完全可以免除Java。HTML5的粉丝指出,这种替代方案提供了Java早期在Web开发中实现的多媒体功能。它是Adobe开发和AT&T工作的重点,今年似乎正在获得发展势头,虽然它的目标Flash比Java更多。
是否保留Java的问题归结为“您的风险状况,以及如何危急该系统就是这样,“Team Cymru的Santorelli说。 “如果妥协的后果是灾难性的,”卸载Java。
Andrew Brandt是一名自由撰稿人和安全专家。
