Video: Java. Ввод-вывод, доступ к файловой системе (Oktober 2024)
Forskere har avdekket nok et null-dagers sårbarhet i Java, og angripere utnytter for tiden naturen.
Sikkerhetsfeilen fører, hvis den utløses, til vilkårlig hukommelse å lese og skrive i Java Virtual Machine, Darien Kindlund og Yichong Lin, to forskere ved FireEye, skrev på FireEye Malware Intelligence Lab-bloggen torsdag. Hvis den lykkes, laster angrepskoden ned en McRAT-dropper og stjeler trojaner fra informasjonen til offerets datamaskin. Det er en annen type feil enn noen av de andre vi har sett nylig.
FireEye sa at flere av kundene sine så angrepet mot nettlesere med Java aktivert. Sikkerhetsfeilene er i Java v.1.6 Update 41 og den nyeste Java v1.7 Update 15, som nettopp ble utgitt 19. februar, ifølge FireEye. Forskerne har allerede avslørt sårbarheten for Oracle (CVE-2013-1493). Ingen annen informasjon er for øyeblikket tilgjengelig fra Oracle.
Flere null dager
FireEye-forskere oppsummerte det rådende følelsen godt i innleggets tittel, “YAJ0: Yet Another Java 0-Day.” Selv om Java har vært et populært angrepsmål i lang tid, ser det ut til å være en utnyttelse av Java null dager som blir utnyttet i naturen de siste to månedene. Det er det samme katt-og-mus-spillet vi har sett med andre selskaper. En null-dag blir funnet, selskapet lapper den, en ny null-dag blir funnet. Vask, skyll og gjenta.
Oracle, selskapet som er kjent for sin motvilje mot å frigjøre lapper utenfor planen, har gitt ut flere nødoppdateringer det siste året fordi feilene har vært så alvorlige. Selskapet ga ut en planlagt oppdatering 19. februar, men det er sannsynlig at denne feilen vil anspore enda en nødoppdatering.
Slå den av, eller begrens den
Er du lei av hele lystegjengen og vil ha en måte å hoppe av? Slå av Java i nettleseren. Deaktiver plugin-modulen. Vi viser deg hvordan du deaktiverer Java. Er du en av de mange, mange, menneskene som trenger Java for arbeids- og skoleformål og ikke kan slå av Java i nettleseren?
Dette er hva du kan gjøre. Du deaktiverer Java i din standard, primære nettleser. Nettleseren du bruker mest, skal ikke ha Java i det hele tatt. Og så installerer du nettleseren du ikke bruker så ofte - de fleste har generelt mer enn én nettleser installert på datamaskinene sine - og aktiverer Java i det. Det viktige her er imidlertid at du ikke, aldri, absolutt aldri, bruker nettleseren til å gå til noe annet sted enn den håndfulle nettsteder du trenger for å kjøre Java på. Du må bruke Blackboard? Du fyrer opp Java-nettleseren. Du må slå opp noe som ble nevnt under Blackboard-økten? I stedet for å klikke, kopier koblingen, start standard nettleseren og lim den inn.
Det tilfører mange ekstra trinn, og jeg kan fortelle deg at det er enormt irriterende. Men jeg føler meg tryggere på å vite at jeg reduserer sjansene mine for å bli truffet med et vannhullangrep. Tenk på alle disse mobilutviklerne på Facebook, Twitter, Microsoft og Apple. De besøkte et nettsted for iOS-utviklere (sannsynligvis et nettsted de besøkte med jevnlig, med tanke på jobbene sine) med nettlesere som hadde Java aktivert, og ble kompromittert.
Hvis du er irritert nok, vil du gjøre det neste trinnet, som er presset selskapet til å slutte å bruke Java. "Det er ikke lenger noen grunn til at nettsteder bruker Java-appleter, " sa Chester Wisniewski fra Sophos til meg på RSA-konferansen denne uken. Du kan presse IT til å begynne å bytte til et annet produkt. Som kunder kan du be leverandøren om å komme med et ikke-Java-alternativ, eller når det er på tide å fornye abonnementet eller kontrakten, vil du avbryte og gå til et annet produkt. Pengesamtaler.
Wisniewski sa at han ikke tok beslutningen om å anbefale å slå av Java lett. Han vurderte konsekvensene nøye og kom til at det foreløpig var det tryggeste å gjøre.
