Strona główna Bezpieczeństwo Dlaczego Java jest teraz mniejszym zagrożeniem dla bezpieczeństwa w systemach Windows, Mac i Linux

Dlaczego Java jest teraz mniejszym zagrożeniem dla bezpieczeństwa w systemach Windows, Mac i Linux

  • Michael Cain
  • 0
  • 4580
  • 158
Reklama

Java, niegdyś ważny element sieci, zyskała na popularności w ciągu ostatnich kilku lat. Większość współczesnych przeglądarek domyślnie blokuje Javę, a większość użytkowników domowych nie musi jej już instalować.

Od dawna słyszeliśmy, że Java jest najbardziej niepewnym oprogramowaniem dla komputerów stacjonarnych, zwłaszcza Windows. Ale czy to nadal prawda? Wejdźmy i się przekonajmy.

Historyczne problemy z Javą

Głównym powodem, dla którego Java stała się tak popularnym celem ataków, jest jej powszechność. Ponieważ Java została zaprojektowana pod kątem maksymalnej kompatybilności, działa na wielu urządzeniach. Oprócz komputerów Java obsługuje odtwarzacze Blu-ray, drukarki, systemy płatności parkingowych, urządzenia loteryjne i wiele innych. Jest to przeciwieństwo bezpieczeństwa poprzez zaciemnianie: duża platforma zapewnia najlepszą wypłatę za atak.

Oczywiście zajmujemy się Javą na komputerze. A tam najgorsze przestępstwo polega na tym, że Java nie aktualizuje się automatycznie. W przeciwieństwie do większości innych współczesnych programów, Java po prostu prosi użytkownika o zainstalowanie aktualizacji, gdy są one dostępne. Co gorsza, Java domyślnie sprawdza dostępność aktualizacji tylko raz w tygodniu lub nawet raz w miesiącu. Jest to niebezpieczne dla aplikacji z tak wieloma lukami w zabezpieczeniach.

Wiele osób widzi monit o aktualizację i ignoruje go, w wyniku czego uruchamiają przestarzałą wersję Java. A dzięki regularnym nowym wersjom nawet ci, którzy instalują niektóre aktualizacje, mogą być sfrustrowani i ignorować kolejne. W niektórych przypadkach, nawet gdy użytkownicy instalują nową wersję, pozostawiają również starą kopię Java. Zwiększa to ich podatność na atak.

Oczywiście nie możemy zapominać o długofalowej sadze Javy dotyczącej włączenia strasznego paska narzędzi Ask. Za każdym razem, gdy instalowałeś lub aktualizowałeś Javę, musiałeś pamiętać o odznaczeniu pola, w przeciwnym razie zawierałoby to śmieci. Chociaż nie jest to exploit, pozostawił niesmak w ustach użytkowników.

Java kończy dziś 22 lata.

Powinniśmy wysłać Oracle ciasto z paskiem Ask Toolbar.

- Tim Barrett (@timbarrett) 24 stycznia 2018 r

Nowoczesna Java

Tak było w przeszłości z Javą, ale co ostatnio?

W październiku 2017 r. Firma Veracode znalazła [No Longer Available], że 88 procent aplikacji Java zawiera co najmniej jeden podatny na uszkodzenia komponent. Na początku 2016 r. Oracle ogłosiło, że nawet instalator Java jest podatny na ataki. Jeśli osoba atakująca umieści plik DLL o określonej nazwie w folderze Pobrane, spowoduje uruchomienie infekcji po uruchomieniu instalatora Java. Ogólnie rzecz biorąc, ze względu na popularność Javy wystarczy odwiedzić witrynę, która korzysta z przestarzałej kopii Javy, aby zostać zainfekowanym.

Chociaż oznacza to, że Java jest daleka od bezpieczeństwa, są też dobre wieści. Na początku 2016 r. Oracle ogłosiło, że planuje wycofać wtyczkę przeglądarki Java (która jest źródłem większości problemów) w JDK 9, który jest już dostępny. Nowoczesne przeglądarki również pozostawiają Java. Chrome zrezygnował z obsługi Java pod koniec 2015 roku, a Firefox przestał ją obsługiwać na początku 2017 roku. Przeglądarka Edge Microsoftu, dołączona do systemu Windows 10, w ogóle nie obsługuje Java.

Oznacza to, że jeśli naprawdę potrzebujesz używać Java w przeglądarce, musisz trzymać się Internet Explorera.

Największe podatności

Ponieważ popularność Java spada, stało się ono najbardziej niepewnym oprogramowaniem komputerowym?

Najnowsze dane firmy Flexera z pierwszego kwartału 2017 r. Pokazują, że 7,8% programów na przeciętnym komputerze PC dobiegło końca. Jest w rankingu 10 najbardziej narażonych programów na podstawie udziału w rynku pomnożonego przez procent użytkowników, którzy nie zostali załatani:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle na PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud dla systemu Windows 6.x

Ta lista może Cię zaskoczyć. Chociaż Java nie jest najbardziej ryzykownym programem, wciąż jest drugim. Inne programy, które zwykle nie wiążą się z zagrożeniami bezpieczeństwa, takie jak VLC i Malwarebytes, również mają swoje miejsce. To pokazuje, jak ważne jest aktualizowanie całego oprogramowania, nie tylko popularnych.

Widzimy więcej, analizując raport bezpieczeństwa Avast za III kwartał 2017 r. Zawiera listę 10 najbardziej aktualnych programów na komputerach użytkowników:

  1. Java 6, 7 i 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. Vlc media player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Szybki czas
  10. Adobe Flash Player

Uwzględniając starsze wersje, wydaje się, że Java wciąż jest na czele najmniej zaktualizowanego oprogramowania. Wtyczki Adobe są również wielkimi winowajcami, i widzimy, że iTunes i VLC również stworzyły tę listę.

I odwrotnie, według TechRadar, Chrome jest lepszy w przypadku zaktualizowanych aplikacji. Podczas ankiety 88% użytkowników Chrome miało zainstalowaną najnowszą wersję. To pokazuje, jak ciche automatyczne aktualizacje mają ogromną różnicę w porównaniu z dokuczliwymi monitami o aktualizację używanymi przez środowiska wykonawcze Java i Adobe.

Nie zapomnij też o aktualizacjach systemu operacyjnego

Kolejnym ważnym elementem aktualizacji, o którym należy pamiętać, są aktualizacje systemu operacyjnego. Pamiętaj, że użytkownicy, którzy zainstalowali automatyczne aktualizacje, zostali oszczędzeni przed strasznym atakiem ransomware w połowie 2017 r. Globalny atak ransomware i jak chronić dane Globalny atak ransomware i jak chronić dane Ogromny cyberatak uderzył w komputery na całym świecie. Czy dotknęło Cię wysoce zjadliwe samoreplikujące się oprogramowanie ransomware? Jeśli nie, w jaki sposób możesz chronić swoje dane bez płacenia okupu? . Nawet jeśli aktualizujesz oprogramowanie takie jak Java, komputer nadal jest zagrożony, jeśli nie zainstalujesz aktualizacji systemu Windows.

System Windows 10 sprawia, że ​​automatyczne aktualizacje są łatwe Zalety i wady wymuszonych aktualizacji w systemie Windows 10 Zalety i wady wymuszonych aktualizacji w systemie Windows 10 Aktualizacje zmienią się w systemie Windows 10. Teraz możesz wybrać i wybrać. Jednak system Windows 10 wymusi na tobie aktualizacje. Ma zalety, takie jak poprawione bezpieczeństwo, ale może się również nie udać. Co więcej… ale te w Windows 7 mogły je wyłączyć. A ci, którzy nadal używają Windows XP prawie cztery lata po jego zakończeniu, narażają się na poważne ryzyko.

Jak niebezpieczna jest Java, naprawdę?

Podsumowując, czy nadal możemy powiedzieć, że Java jest największym zagrożeniem bezpieczeństwa dla komputerów stacjonarnych? Nie całkiem. Negatywne jest to, że ludzie nadal używają przestarzałych wersji Javy, chociaż tak naprawdę ich nie potrzebują. To otwiera je na luki w zabezpieczeniach. Ponieważ jednak większość przeglądarek nie obsługuje już języka Java, nie są one otwarte na atak, tak jak kiedyś.

Słaby link w zabezpieczeniach twojego komputera pochodzi z najpopularniejszego oprogramowania, którego nie aktualizujesz. Jeśli masz najnowszą wersję Java, ale nadal nie odinstalowałeś nieobsługiwanego QuickTime na Windows, to duże ryzyko. Posiadanie przestarzałej wersji Flasha, Adobe Readera lub iTunes może cię również otworzyć na atak.

obecny nastrój: odmowa aktualizacji oprogramowania na 18 miesięcy, a teraz narzędzie do pobierania jest nieaktualne

- ćmy! ? autystyczny! ? (@ 13_moths) 12 lutego 2018 r

Z powyższych danych możemy wywnioskować, że programy bez automatycznych aktualizacji są zazwyczaj najmniej bezpieczne. Na przykład iTunes stale prosi użytkowników o aktualizację, co jest denerwujące. To powoduje, że ludzie ignorują aktualizacje i pozostawiają niezabezpieczoną wersję zainstalowaną.

Co z komputerami Mac i Linux?

Skoncentrowaliśmy się na Javie dla systemu Windows powyżej, ale warto szybko wspomnieć, jak wpływa to również na użytkowników komputerów Mac i Linux.

Zaskakujące jest to, że chociaż Apple nie pozwala domyślnie uruchamiać wtyczek w przeglądarce Safari, przeglądarka nadal obsługuje stare wtyczki, takie jak Java i Silverlight. Chociaż powinieneś odinstalować Javę na komputerze Mac, chyba że jest to potrzebne z konkretnego powodu, Java nie spowodowała tylu problemów dla użytkowników komputerów Mac, jak w systemie Windows. Ostatnio większość luk bezpieczeństwa w systemie macOS wynika z niedopatrzeń samego Apple.

Muszę dla czegoś zainstalować NetBeans. Wersja Mac jest dostarczana jako pakiet instalatora (!), Który był czerwoną flagą. Ale potem chciałem zainstalować Javę…

Nie. Nie, nie, nie. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Eat the Rich (@_nulldragon) 8 lutego 2018 r

Linux również nie widział żadnych unikalnych luk w zabezpieczeniach Java. Jeśli potrzebujesz przeglądarki obsługującej Javę w systemie Linux, możesz wypróbować wersję Firefox ESR (Extended Support Release). Firefox zapewnia tę wersję dla środowisk biznesowych; zapewnia najnowsze aktualizacje zabezpieczeń, ale dłużej czeka na wdrożenie aktualizacji funkcji. Obecna wersja, 52, obsługuje Javę i inne starsze wtyczki będą dostępne do pewnego czasu w drugim kwartale 2018 roku.

Przyszłość bez wtyczek

Dobrą wiadomością jest to, że nie potrzebujesz większości tych potencjalnie niebezpiecznych i irytujących wtyczek. Myślisz, że Flash jest jedyną niezabezpieczoną wtyczką? Think Again Think Flash Czy jedyna niepewna wtyczka? Think Again Flash nie jest jedyną wtyczką do przeglądarki, która stanowi zagrożenie dla prywatności i bezpieczeństwa w Internecie. Oto jeszcze trzy wtyczki, które prawdopodobnie zainstalowałeś w przeglądarce, ale dziś je odinstaluj. już zainstalowane. Bardzo niewiele stron internetowych korzysta z Java, a główny program, który ludzie zainstalowali Javę dla Minecraft-zawiera teraz bezpieczną pakietową wersję Javy Jak zainstalować pełną wersję Minecraft na komputerze z systemem Linux Jak zainstalować pełną wersję Minecraft na systemie Linux PC Minecraft to jedna z największych gier na świecie, działająca na praktycznie każdej platformie. Chcesz uruchomić go na komputerze z systemem Linux? Pokażemy ci jak. . Inne wtyczki też nie są konieczne. Microsoft wycofał się z Silverlight wiele lat temu i trudno byłoby znaleźć witrynę z treścią Shockwave.

Flash jest jedynym wyjątkiem Die Flash Die: ciągła historia firm technologicznych próbujących zabić Flash Die Die Flash: ciągła historia firm technologicznych próbujących zabić Flash Flash od dawna zanika, ale kiedy to umrze? . Większość przeglądarek nadal obsługuje go ze względu na jego popularność, ale Adobe zabije go w 2020 roku. Do tego czasu upewnij się, że aktualizujesz Flash na komputerze. Chrome robi to automatycznie, więc możesz go nawet nie zainstalować (co jest świetne).

W skrócie: Java jest nadal niepewna, ale stanowi mniejsze ryzyko dzięki wyłączeniom przeglądarki. Należy odinstalować niepotrzebne programy (w tym stare wtyczki), aktualizować oprogramowanie na komputerze i stosować aktualizacje systemu operacyjnego. Jeśli to zrobisz, będziesz zamożny.




Jeszcze bez komentarzy

Google Now odsuwa Cię od klęsk żywiołowych
Nowości techniczne
Google ujawnia datę rozpoczęcia Stadia, ceny, gry
Nowości techniczne
Skype umożliwia teraz udostępnianie ekranu na urządzeniach mobilnych
Nowości techniczne
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.