Video: Обновление Java, майнинг криптовалюты на суперкомпьютерах, Vue One piece (Nobyembre 2024)
Natuklasan ng mga mananaliksik ang isa pang zero-day na kahinaan sa Java, at ang mga umaatake ay kasalukuyang sinasamantala sa ligaw.
Ang kapintasan ng seguridad, kung nag-trigger, ay humantong sa di-makatwirang memorya ng pagbasa-at-pagsulat sa Java Virtual Machine, Darien Kindlund at Yichong Lin, dalawang mananaliksik sa FireEye, ay sumulat sa blog ng FireEye Malware Intelligence Lab Huwebes. Kung matagumpay, ang pag-atake code ay nag-download ng isang McRAT dropper at pagnanakaw ng impormasyon sa computer ng biktima. Ito ay isang iba't ibang uri ng kapintasan kaysa sa ilan sa mga nauna nating nakita.
Sinabi ni FireEye na ilan sa mga customer nito ang nakakita ng pag-atake laban sa mga browser na may Java na pinagana. Ang security flaws ay nasa Java v.1.6 Update 41 at pinakabagong Java v1.7 Update 15, na pinakawalan noong Pebrero 19, ayon sa FireEye. Inihayag na ng mga mananaliksik ang kahinaan sa Oracle (CVE-2013-1493). Walang ibang impormasyon na magagamit mula sa Oracle.
Marami pang Zero-Days
Binubuo ng mga mananaliksik ng FireEye ang mahusay na damdamin sa pamagat ng post, "YAJ0: Ngunit Isa pang Java 0-Day." Habang ang Java ay isang tanyag na target na pag-atake sa loob ng mahabang panahon, tila isang pagsasamantala ng Java zero-day na sinasamantala. sa ligaw sa nakalipas na dalawang buwan. Ito ay ang parehong laro ng cat-and-mouse na nakita namin sa iba pang mga kumpanya. Ang isang zero-day ay natagpuan, pinipirma ito ng kumpanya, isang bagong zero-day ang natagpuan. Hugasan, banlawan, at ulitin.
Oracle, ang kumpanya na kilalang-kilala sa kanyang pag-aatubili upang palabasin ang mga patch na wala sa iskedyul, ay naglabas ng ilang mga pag-update sa emerhensiya sa nakaraang taon dahil ang mga bug ay naging seryoso. Ang kumpanya ay naglabas ng isang naka-iskedyul na pag-update ng Peb. 19, ngunit malamang na ang bug na ito ay magpapalabas ng isa pang emergency patch.
I-off ito, O Limitahan Ito
Napapagod ka ba sa buong maligaya-go-round at nais ng isang paraan upang tumalon? Patayin ang Java sa browser. Huwag paganahin ang plugin. Ipinapakita namin sa iyo kung paano paganahin ang Java. Isa ka ba sa maraming, marami, mga taong nangangailangan ng Java para sa mga layunin sa trabaho at paaralan at hindi maaaring patayin ang Java sa browser?
Narito ang maaari mong gawin. Hindi mo pinapagana ang Java sa iyong default, pangunahing browser. Ang browser na ginagamit mo sa karamihan ay hindi dapat magkaroon ng Java sa lahat. At pagkatapos mong i-install ang browser hindi mo ginagamit ang lahat ng madalas - karamihan sa mga tao sa pangkalahatan ay may higit sa isang browser na naka-install sa kanilang mga computer, pa rin - at paganahin ang Java sa iyon. Ang mahalagang bagay dito, gayunpaman, ay hindi mo, hindi kailanman, ganap na hindi, ginagamit ang browser na iyon upang pumunta sa anumang site maliban sa maliit na mga site na kailangan mong patakbuhin ang Java. Kailangan mong gumamit ng Blackboard? Sinunog mo ang Java-browser. Kailangan mong maghanap ng isang bagay na nabanggit sa session ng Blackboard? Sa halip na mag-click, kopyahin ang link, sunugin ang iyong default na browser, at i-paste ito.
Nagdaragdag ito ng maraming dagdag na mga hakbang, at masasabi ko sa iyo na ito ay nakakainis. Ngunit pakiramdam ko ay mas ligtas na alam na binabawasan ko ang aking mga pagkakataon na ma-hit sa isang pag-atake ng pagtutubig. Mag-isip tungkol sa lahat ng mga mobile developer sa Facebook, Twitter, Microsoft, at Apple. Bumisita sila sa isang Web site ng developer ng iOS (marahil sa isang site na binisita nila nang regular, isinasaalang-alang ang kanilang mga trabaho) sa mga browser na pinagana ang Java, at nakompromiso.
Kung naiinis ka, gagawin mo ang susunod na hakbang, na kung saan ay pinipilit ang kumpanya na huminto sa paggamit ng Java. "Wala nang dahilan para magamit ng mga Website ang mga applet ng Java, " sinabi sa akin ni Chester Wisniewski, ng Sophos, sa RSA Conference ngayong linggo. Maaari mong pilitin ang IT upang simulan ang paglipat sa ibang produkto. Bilang mga customer, maaari mong sabihin sa vendor na magkaroon ng isang alternatibong di-Java, o kapag oras na upang mai-renew ang subscription o kontrata, kanselahin mo at pumunta sa ibang produkto. Pag-uusap ng pera.
Sinabi ni Wisniewski na hindi niya ginawa ang pagpapasyang inirerekumenda na patayin ang Java. Itinuring niyang mabuti ang mga ramifications at dumating sa konklusyon na sa ngayon, ito ang pinakaligtas na bagay na dapat gawin.
