Video: ANG TITAN BILANG BAGONG TIRAHAN AT HINDI KAILANGAN GUMAMIT NG SPACE SUIT | Bagong Kaalaman (Nobyembre 2024)
Kalimutan ang zero-araw. Ang pag-atake ng Java ay nagtagumpay dahil ang mga gumagamit ay nauubusan ng mga bersyon ng Java plug-in sa kanilang browser.
Halos 75 porsyento ng mga gumagamit ng pagtatapos ay nagpapatakbo ng isang bersyon ng Java sa kanilang browser na hindi bababa sa anim na buwan na wala sa oras, si Charles Renert, bise presidente ng pananaliksik at pag-unlad para sa Websense, ay nagsulat sa blog ng Websense Security Labs Lunes. Limang porsyento lamang ng mga pagtatapos ang tumatakbo sa pinakabagong bersyon ng Java Runtime Environment, 1.7.17, natagpuan ang Websense.
Ang mga numero ay nakakakuha ng higit na nakababahalang kapag tinitingnan ang mga mas lumang bersyon ng plug-in ng Java para sa browser. Ang dalawang-katlo ng mga gumagamit ay mayroong Java na hindi bababa sa isang taong wala sa oras, at 50 porsyento ang nagpapatakbo ng isang bersyon na higit sa dalawang taong gulang. Halos 25 porsiyento ng mga gumagamit ay talagang mayroong isang bersyon na higit sa apat na taong gulang. Ang tsart sa itaas ay may mga detalye - mag-click upang makita ang isang mas malaking imahe (ang isang mas malaking imahe ay nasa post ng blog).
"Tulad ng nakikita mo, ang mga bersyon ng Java ay nasa buong mapa, " sabi ni Renert.
Ang data para sa pagsusuri na ito ay nagmula sa sampu-sampung milyong mga pagtatapos sa network ng ThreatSeeker ng Websense.
Hindi napapanahong Java Nagsasalin sa Pag-atake
Matapos kumpirmahin na sa kabila ng madalas na mga paalala na panatilihin ang Java (anumang software sa computer, talaga) hanggang sa kasalukuyan, isang makabuluhang mayorya ng mga gumagamit ay hindi nagagawa, sinuri ng Websense kung gaano kahina ang atake ng mga mas lumang bersyon. Tulad ng nabanggit ng SecurityWatch, ang karamihan sa mga pag-atake sa cyber ay hindi nag-abala sa mga kahinaan sa zero-day, lalo na kung mayroong isang higanteng biktima pool na nauubusan ng lipas na software.
"Iyon ang ginagawa ng mga masasamang tao - suriin ang iyong mga kontrol sa seguridad at hanapin ang pinakamadaling paraan upang maiiwasan ang mga ito, " sabi ni Renert.
Tiningnan ng Websense ang mga kahinaan sa Java na na-target sa pagsasamantala sa mga Kit, Gong Da, MiniDuke, Blackhole 2.0, RedKit, at CritXPack, at natagpuan na ang mga gumagamit na may isang hindi napapanahong Java plugin na pinagana sa browser ay mahina laban sa mga pag-atake na ginagamit ng hindi bababa sa isa sa mga kit. Ang pinakamalaking nagamit na Java flaw ay umiiral sa mga bersyon ng JRE 1.7.15 at 1.6.41 at mas matanda, at 93.77 porsyento ng mga browser ay mahina, sinabi ni Renert. Ang pangalawang pinaka-pinagsamantalang kahinaan ay sa bersyon 1.7.11, at nakakaapekto sa 83.87 porsyento ng mga browser. Ang parehong pagsasamantala ay na-target ng Cool kit.
"Ang pagkuha ng isang kopya ng pinakabagong bersyon ng Cool at paggamit ng isang pre-package na pagsasamantala ay isang medyo mababang bar upang sundin ang tulad ng isang malaking populasyon ng mga mahina na browser, " sabi ni Renert, at idinagdag, "Malinaw na hindi lamang ang pag-atake ng zero-day na dapat makuha ang lahat ng pansin. "
Marami ring mga gumagamit na hindi lumipat sa bagong bersyon ng Java Development Kit. Humigit-kumulang na 79 porsyento ng mga gumagamit ay nagpapatakbo pa rin ng mga plugin batay sa Java 6, natagpuan ang Websense. Isinasaalang-alang na pinakawalan ng Oracle ang Java Development Kit 6, na-update ang 43 lamang ng ilang linggo na ang nakaraan at sinabi na ang Java 6 ay hindi na suportado, ang mga gumagamit ay talagang kailangang lumipat sa Java 7 sa lalong madaling panahon.
"Kung wala ka sa bersyon 7 (na 78.86 porsiyento ng sa iyo), hindi ka padadalhan ng Oracle ng anumang mga update kahit na ang mga bagong kahinaan ay walang takip, " babala ni Renert.
Limitado ka pagdating sa pagtatanggol laban sa mga pag-atake ng zero-day, ngunit mayroong dalawang simpleng bagay na maaari mong gawin upang maprotektahan ang iyong sarili mula sa lahat ng mga pag-atake na ito gamit ang mas matatandang pagsasamantala: I-install ang mga pag-update ng seguridad sa iyong operating system at software habang magagamit, at mag-upgrade sa pinakabagong bersyon saan ka makakaya.
Ito ang ligtas na gawin.
