Γιατί η Java είναι λιγότερο από κίνδυνο ασφαλείας τώρα σε Windows, Mac και Linux

Διαφήμιση

Η Java, κάποτε ένα ζωτικό συστατικό του διαδικτύου, έχει μειωθεί στη δημοτικότητά της τα τελευταία χρόνια. Τα περισσότερα σύγχρονα προγράμματα περιήγησης αποκλείουν την Java από προεπιλογή και η πλειοψηφία των οικιακών χρηστών δεν χρειάζεται πλέον να την εγκαταστήσει.

Εδώ και καιρό ακούσαμε ότι η Java είναι το μοναδικό πιο ανασφαλές λογισμικό για επιτραπέζιους υπολογιστές, ειδικά για Windows. Αλλά αυτό εξακολουθεί να ισχύει; Ας σκάψουμε και να μάθουμε.

Τα ιστορικά προβλήματα με την Java

Ο κύριος λόγος που η Java έχει γίνει τόσο δημοφιλής στόχος για επίθεση είναι πόσο διαδεδομένη είναι. Επειδή η Java έχει σχεδιαστεί για μέγιστη συμβατότητα, λειτουργεί σε πολλές συσκευές. Εκτός από τους υπολογιστές, η Java διαθέτει συσκευές αναπαραγωγής Blu-ray, εκτυπωτές, συστήματα πληρωμής στάθμευσης, συσκευές λαχειοφόρων αγορών και πολλά άλλα. Είναι το αντίθετο του ασφάλεια μέσω της αφάνειας: μια μεγάλη πλατφόρμα παρέχει την καλύτερη απόδοση για μια επίθεση.

Φυσικά, μας απασχολεί η Java στην επιφάνεια εργασίας. Και εκεί, το χειρότερο αδίκημα είναι ότι η Java δεν ενημερώνεται αυτόματα. Σε αντίθεση με τα περισσότερα σύγχρονα προγράμματα, η Java ζητά απλώς από τον χρήστη να εγκαταστήσει ενημερώσεις όταν είναι διαθέσιμο. Ακόμα χειρότερα, από προεπιλογή, η Java ελέγχει μόνο για ενημερώσεις μία φορά την εβδομάδα ή ακόμη και μία φορά το μήνα. Αυτό είναι επικίνδυνο για μια εφαρμογή με τόσες πολλές ευπάθειες ασφαλείας.

Πολλοί άνθρωποι βλέπουν το μήνυμα ενημέρωσης και το αγνοούν, με αποτέλεσμα να εκτελούν μια παλιά έκδοση της Java. Και με τις νέες εκδόσεις που προσφέρονται τακτικά, ακόμη και εκείνοι που εγκαθιστούν ορισμένες ενημερώσεις μπορεί να απογοητευτούν και να αγνοήσουν άλλες. Σε ορισμένες περιπτώσεις, ακόμη και όταν οι χρήστες εγκαθιστούν μια νέα έκδοση, εγκαταλείπουν επίσης το παλιό αντίγραφο της Java. Αυτό διευρύνει την ευπάθειά τους στην επίθεση.

Φυσικά, δεν μπορούμε να ξεχάσουμε τη μακροχρόνια ιστορία της Java η τρομερή γραμμή εργαλείων Ρωτήστε. Κάθε φορά που εγκαθιστάτε ή ενημερώνετε το Java, θα πρέπει να θυμάστε να αποεπιλέξετε ένα πλαίσιο ή θα περιλαμβάνει αυτό το κομμάτι σκουπιδιών. Αν και δεν αποτελεί εκμετάλλευση, αυτό άφησε μια κακή γεύση στο στόμα των χρηστών.

Η Java γίνεται 22 σήμερα.

Πρέπει να στείλουμε στην Oracle μια τούρτα με το Ask Toolbar.

- Tim Barrett (@timbarrett) 24 Ιανουαρίου 2018

Σύγχρονη Ιάβα

Λοιπόν, αυτό ήταν λάθος με την Java στο παρελθόν, αλλά τι γίνεται πρόσφατα;

Τον Οκτώβριο του 2017, ο Veracode διαπίστωσε ότι [88% δεν είναι πλέον διαθέσιμος] ότι το 88% των εφαρμογών Java περιέχουν τουλάχιστον ένα ευάλωτο στοιχείο. Στις αρχές του 2016, η Oracle το ανακοίνωσε ακόμη και το πρόγραμμα εγκατάστασης Java ήταν ευάλωτο. Εάν ένας εισβολέας τοποθετούσε ένα αρχείο DLL με ένα συγκεκριμένο όνομα στο φάκελο "Λήψεις", θα προκαλούσε μόλυνση όταν εκτελέσατε το πρόγραμμα εγκατάστασης Java. Και γενικά, λόγω της δημοτικότητας της Java, θα χρειαζόταν μόνο επισκεφτείτε έναν ιστότοπο που έχει παραβιαστεί που εκμεταλλεύτηκε το παρωχημένο αντίγραφο της Java για να μολυνθεί.

Αν και αυτό σημαίνει ότι η Java απέχει πολύ από την ασφάλεια, υπάρχουν και καλά νέα. Στις αρχές του 2016, Η Oracle ανακοίνωσε ότι σκοπεύει να καταργήσει την προσθήκη προγράμματος περιήγησης Java (που είναι η πηγή των περισσότερων προβλημάτων) στο JDK 9, το οποίο είναι διαθέσιμο τώρα. Τα σύγχρονα προγράμματα περιήγησης έχουν αφήσει την Java πίσω. Το Chrome εγκατέλειψε την υποστήριξη για Java στα τέλη του 2015, και Ο Firefox σταμάτησε να το υποστηρίζει στις αρχές του 2017. Το πρόγραμμα περιήγησης Edge της Microsoft, που περιλαμβάνεται στα Windows 10, δεν υποστηρίζει καθόλου την Java.

Αυτό σημαίνει ότι εάν πρέπει πραγματικά να χρησιμοποιήσετε το Java σε ένα πρόγραμμα περιήγησης, θα πρέπει να παραμείνετε στον Internet Explorer.

Οι μεγαλύτερες ευπάθειες

Δεδομένου ότι η Java μειώνεται στη δημοτικότητα, τι αντικαθίσταται ως το πιο ανασφαλές λογισμικό για επιτραπέζιους υπολογιστές;

Τα πιο πρόσφατα δεδομένα της Flexera, από το πρώτο τρίμηνο του 2017, αποκαλύπτει ότι το 7,8% των προγραμμάτων στον μέσο υπολογιστή έχουν φτάσει στο τέλος της ζωής τους. Κατατάσσεται στα κορυφαία 10 πιο εκτεθειμένα προγράμματα, με βάση το μερίδιο αγοράς πολλαπλασιασμένο επί τοις εκατό των χρηστών που δεν έχουν διορθωθεί:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle για υπολογιστή 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud για Windows 6.x

Αυτή η λίστα μπορεί να σας εκπλήξει. Ενώ η Java δεν είναι το πιο επικίνδυνο πρόγραμμα, είναι ακόμα το δεύτερο. Άλλα προγράμματα που συνήθως δεν συσχετίζουμε με κινδύνους ασφαλείας, όπως το VLC και το Malwarebytes, κατέχουν επίσης θέση. Αυτό δείχνει τη σημασία της ενημέρωσης ολόκληρου του λογισμικού σας, όχι μόνο των δημοφιλών.

Μπορούμε να δούμε περισσότερα εξετάζοντας Αναφορά ασφάλειας του Q3 2017 του Avast. Παραθέτει τα κορυφαία 10 πιο ξεπερασμένα προγράμματα στους υπολογιστές των χρηστών του:

1. Java 6, 7 και 8
2. Adobe Air
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Firefox
7. 7-φερμουάρ
8. WinRAR
9. Γρήγορη ώρα
10. Adobe Flash player

Όταν συμπεριλαμβάνετε τις παλαιότερες εκδόσεις, φαίνεται ότι η Java εξακολουθεί να βρίσκεται στην κορυφή του λιγότερο ενημερωμένου λογισμικού. Τα πρόσθετα της Adobe είναι επίσης μεγάλοι ένοχοι, και βλέπουμε επίσης το iTunes και το VLC να κάνουν αυτή τη λίστα.

Αντίστροφως, σύμφωνα με το TechRadar, Το Chrome βγαίνει στην κορυφή για ενημερωμένες εφαρμογές. Κατά την έρευνα, το 88% των χρηστών που χρησιμοποιούν το Chrome είχαν εγκαταστήσει την τελευταία έκδοση. Αυτό δείχνει πώς οι σιωπηλές αυτόματες ενημερώσεις κάνουν μια τεράστια διαφορά, σε σύγκριση με τις ενοχλητικές προτροπές ενημέρωσης που χρησιμοποιούνται από τους χρόνους εκτέλεσης Java και Adobe.

Μην ξεχνάτε πάρα πολύ τις ενημερώσεις λειτουργικού συστήματος

Ένα άλλο σημαντικό στοιχείο της ενημέρωσης που πρέπει να θυμάστε είναι οι ενημερώσεις λειτουργικού συστήματος. Θυμηθείτε ότι οι χρήστες που είχαν εγκαταστήσει αυτόματες ενημερώσεις γλιτώθηκαν από την τρομερή επίθεση ransomware στα μέσα του 2017 Το Global Ransomware Attack και πώς να προστατεύσετε τα δεδομένα σαςΜια τεράστια επίθεση στον κυβερνοχώρο έπληξε υπολογιστές σε όλο τον κόσμο. Έχετε επηρεαστεί από το εξαιρετικά μολυσματικό αυτοαντιγραφόμενο ransomware; Εάν όχι, πώς μπορείτε να προστατεύσετε τα δεδομένα σας χωρίς να πληρώσετε τα λύτρα; Διαβάστε περισσότερα . Ακόμα κι αν διατηρείτε ενημερωμένο λογισμικό όπως η Java, ο υπολογιστής σας εξακολουθεί να κινδυνεύει, εάν δεν εγκαταστήσετε ενημερώσεις των Windows.

Τα Windows 10 διευκολύνουν αυτές τις αυτόματες ενημερώσεις Πλεονεκτήματα και μειονεκτήματα των αναγκαστικών ενημερώσεων στα Windows 10Οι ενημερώσεις θα αλλάξουν στα Windows 10. Αυτή τη στιγμή μπορείτε να διαλέξετε. Τα Windows 10, ωστόσο, θα επιβάλλουν ενημερώσεις σε εσάς. Έχει πλεονεκτήματα, όπως βελτιωμένη ασφάλεια, αλλά μπορεί επίσης να πάει στραβά. Επί πλέον... Διαβάστε περισσότερα , αλλά εκείνοι στα Windows 7 ενδέχεται να τους απενεργοποίησαν. Και όσοι εξακολουθούν να χρησιμοποιούν τα Windows XP σχεδόν τέσσερα χρόνια μετά το τέλος της ζωής του διατρέχουν μεγάλο κίνδυνο.

Πόσο επικίνδυνο είναι το Java, πραγματικά;

Συνολικά, μπορούμε ακόμα να πούμε ότι η Java είναι ο μεγαλύτερος κίνδυνος ασφάλειας για επιτραπέζιους υπολογιστές; Όχι πραγματικά. Από την αρνητική πλευρά, οι άνθρωποι εξακολουθούν να εκτελούν ξεπερασμένες εκδόσεις Java, παρόλο που πραγματικά δεν το χρειάζονται. Αυτό τους ανοίγει σε ευπάθειες ασφαλείας. Ωστόσο, δεδομένου ότι τα περισσότερα προγράμματα περιήγησης δεν υποστηρίζουν πια την Java, δεν είναι ανοιχτά σε επιθέσεις όπως ήταν κάποτε.

Ο αδύναμος σύνδεσμος στην ασφάλεια του υπολογιστή σας προέρχεται από το πιο δημοφιλές λογισμικό που δεν ενημερώνεστε συνεχώς. Εάν διαθέτετε την πιο πρόσφατη έκδοση του Java, αλλά δεν το έχετε απεγκαταστήσατε το μη υποστηριζόμενο QuickTime για Windows, αυτός είναι μεγάλος κίνδυνος. Έχοντας μια παλιά έκδοση του Flash, του Adobe Reader ή του iTunes θα μπορούσατε να σας ανοίξουν και να επιτεθείτε.

τρέχουσα διάθεση: άρνηση ενημέρωσης λογισμικού για 18 μήνες και τώρα το εργαλείο λήψης δεν είναι ενημερωμένο

- σκώροι (@ 13_moths) 12 Φεβρουαρίου 2018

Μπορούμε να μάθουμε από τα παραπάνω δεδομένα ότι τα προγράμματα χωρίς αυτόματες ενημερώσεις είναι συνήθως τα λιγότερο ασφαλή. Για παράδειγμα, το iTunes ζητά συνεχώς από τους χρήστες να κάνουν ενημέρωση, κάτι που είναι ενοχλητικό. Αυτό οδηγεί τους ανθρώπους να αγνοήσουν τις ενημερώσεις και να εγκαταστήσουν μια μη ασφαλή έκδοση.

Τι γίνεται με Mac και Linux;

Έχουμε επικεντρωθεί στην Java για Windows παραπάνω, αλλά αξίζει να αναφέρουμε γρήγορα πώς αυτό επηρεάζει και τους χρήστες Mac και Linux.

Παραδόξως, ενώ η Apple δεν επιτρέπει την εκτέλεση των προσθηκών από προεπιλογή στο Safari, το πρόγραμμα περιήγησης εξακολουθεί να υποστηρίζει τις παλιές προσθήκες όπως η Java και το Silverlight. Ενώ πρέπει να απεγκαταστήσετε το Java στο Mac σας, εκτός εάν το χρειάζεστε για συγκεκριμένο λόγο, η Java δεν έχει προκαλέσει τόσα προβλήματα στους χρήστες Mac όσο και στα Windows. Τον τελευταίο καιρό, οι περισσότερες τρύπες ασφαλείας σε macOS χάρη στην παραβίαση από την ίδια την Apple.

Πρέπει να εγκαταστήσω το NetBeans για κάτι. Η έκδοση Mac αποστέλλεται ως πακέτο προγράμματος εγκατάστασης (!), Το οποίο ήταν κόκκινη σημαία. Αλλά τότε ήθελε να εγκαταστήσω το Java…

Οχι. Όχι όχι. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8 Φεβρουαρίου 2018

Το Linux δεν έχει δει καμία μοναδική ευπάθεια Java. Εάν χρειάζεστε ένα πρόγραμμα περιήγησης που υποστηρίζει Java σε Linux, μπορείτε να δοκιμάσετε το Έκδοση ESR (Extended Support Release) του Firefox. Ο Firefox παρέχει αυτήν την έκδοση για επιχειρηματικά περιβάλλοντα. Παρέχει τις πιο πρόσφατες ενημερώσεις ασφαλείας, αλλά περιμένει περισσότερο για την κυκλοφορία ενημερώσεων λειτουργιών. Η τρέχουσα έκδοση, 52, υποστηρίζει Java και άλλες παλαιότερες προσθήκες θα είναι διαθέσιμες έως και το δεύτερο τρίμηνο του 2018.

Ένα μέλλον χωρίς προσθήκες

Τα καλά νέα είναι ότι δεν χρειάζεστε τα περισσότερα από αυτά δυνητικά επικίνδυνα και ενοχλητικά πρόσθετα Πιστεύετε ότι το Flash είναι το μόνο ανασφαλές πρόσθετο; Ξανασκέψου τοΤο Flash δεν είναι η μόνη προσθήκη προγράμματος περιήγησης που παρουσιάζει κίνδυνο για το διαδικτυακό απόρρητο και την ασφάλειά σας. Ακολουθούν τρία ακόμη πρόσθετα που πιθανότατα έχετε εγκαταστήσει στο πρόγραμμα περιήγησής σας, αλλά πρέπει να απεγκαταστήσετε σήμερα. Διαβάστε περισσότερα εγκατεστημένο πια. Πολύ λίγοι ιστότοποι χρησιμοποιούν Java και το σημαντικό πρόγραμμα για το οποίο οι χρήστες κράτησαν την Java για εγκατάσταση - Minecraft—περιλαμβάνει μια ασφαλή ομαδοποιημένη έκδοση της Java τώρα Πώς να εγκαταστήσετε την πλήρη έκδοση του Minecraft σε υπολογιστή LinuxΤο Minecraft είναι ένα από τα μεγαλύτερα παιχνίδια στον κόσμο και λειτουργεί σχεδόν σε κάθε πλατφόρμα. Θέλετε να το εκτελείτε στον υπολογιστή σας Linux; Θα σας δείξουμε πώς. Διαβάστε περισσότερα . Δεν απαιτούνται και άλλες προσθήκες. Η Microsoft απέσυρε το Silverlight πριν από χρόνια και θα δυσκολευόσασταν να βρεις έναν ιστότοπο με περιεχόμενο Shockwave.

Το Flash είναι η μόνη εξαίρεση Die Flash Die: Η τρέχουσα ιστορία των τεχνολογικών εταιρειών που προσπαθούν να σκοτώσουν το FlashΤο Flash παρακμάζει εδώ και πολύ καιρό, αλλά πότε θα πεθάνει; Διαβάστε περισσότερα . Τα περισσότερα προγράμματα περιήγησης εξακολουθούν να το υποστηρίζουν λόγω της δημοτικότητάς του, αλλά Η Adobe θα το σκοτώσει το 2020. Μέχρι τότε, φροντίστε να ενημερώσετε το Flash στον υπολογιστή σας. Το Chrome το κάνει αυτόματα, οπότε ενδέχεται να μην το έχετε εγκαταστήσει πλέον (κάτι που είναι υπέροχο).

Με λίγα λόγια: Η Java παραμένει ανασφαλής αλλά ενέχει μικρότερο κίνδυνο χάρη στην απενεργοποίηση των προγραμμάτων περιήγησης. Θα πρέπει να απεγκαταστήσετε προγράμματα που δεν χρειάζεστε (συμπεριλαμβανομένων παλαιών προσθηκών), να διατηρήσετε ενημερωμένο το λογισμικό στον υπολογιστή σας και να εφαρμόσετε ενημερώσεις λειτουργικού συστήματος. Εάν το κάνετε αυτό, θα είστε καλά.

Πιστωτική εικόνα: avemario /Depositphotos