וִידֵאוֹ: Anatomy of a Java Zero-Day Exploit (נוֹבֶמבֶּר 2024)
חוקרים חשפו עוד פגיעות ב- Java באפס יום, והתוקפים מנצלים אותה כעת בטבע.
ליקוי האבטחה, אם מופעל, מוביל לקריאה וכתיבה של זיכרון שרירותיים בכתב העת Java Virtual Machine, Darien Kindlund ו- Yichong Lin, שני חוקרים ב- FireEye, כתבו ביום חמישי בבלוג של מעבדת המודיעין של תוכנת MalE. אם הצליח, קוד ההתקפה מוריד טפטפת McRAT וגונב מידע טרויאני למחשב של הקורבן. זה סוג אחר של פגם מאשר חלק מהאחרים שראינו לאחרונה.
FireEye מסר כי כמה מלקוחותיה ראו את ההתקפה נגד דפדפנים עם ג'אווה מופעלת. ליקויי האבטחה נמצאים ב- Java v.1.6 Update 41 וב- Java v1.7 Update 15 האחרון, שיצא ממש לאחרונה ב -19 בפברואר, על פי FireEye. החוקרים כבר חשפו את הפגיעות לאורקל (CVE-2013-1493). Oracle אינו זמין כעת מידע נוסף.
עוד אפס-ימים
חוקרי FireEye סיכמו היטב את הסנטימנט הרווח בכותרת הפוסט, "YAJ0: Yet Another Java 0-Day." למרות שג'אווה הייתה יעד התקפה פופולרי זה זמן רב, נראה שיש ניצול של ימי אפס של ג'אווה שמנוצלים. בטבע במהלך החודשיים האחרונים. זה אותו משחק חתול ועכבר שראינו עם חברות אחרות. נמצא יום אפס, החברה מתעדת אותו, נמצא יום אפס חדש. שוטפים, שוטפים וחוזרים על הפעולה.
אורקל, החברה הידועה בחוסר רצון לשחרר טלאים מחוץ למועד המתוכנן, פרסמה בשנה האחרונה מספר עדכוני חירום מכיוון שהבאגים היו כה חמורים. החברה פרסמה עדכון מתוזמן ב -19 בפברואר, אך ככל הנראה באג זה ידרבן עוד תיקון חירום.
כבה את זה, או הגבל אותו
נמאס לכם מכל ההסתובבות ורוצים דרך לקפוץ? כבה את Java בדפדפן. השבת את התוסף. אנו מראים לך כיצד להשבית את ג'אווה. האם אתה אחד מהאנשים הרבים, הרבים, הזקוקים לג'אווה למטרות עבודה ובית ספר ואינם יכולים לכבות את הג'אווה בדפדפן?
הנה מה שאתה יכול לעשות. אתה מבטל את Java בדפדפן ברירת המחדל הראשוני שלך. הדפדפן בו אתה משתמש ביותר לא אמור להיות בעל Java בכלל. ואז אתה מתקין את הדפדפן שאתה לא משתמש בו כל כך לעיתים קרובות - לרוב האנשים בדרך כלל מותקנים יותר מדפדפן אחד במחשבים שלהם - ומאפשר את Java בזה. עם זאת, הדבר החשוב כאן הוא שלא תשתמש אף פעם בדפדפן זה, אף פעם, אף פעם, אף פעם, לאף אתר אחר מלבד קומץ האתרים שבהם אתה צריך להפעיל ג'אווה. אתה צריך להשתמש ב- Blackboard? אתה מפעיל את דפדפן ה- Java. אתה צריך לחפש משהו שהוזכר במהלך הפגישה של הלוח? במקום ללחוץ, העתק את הקישור, הפעל את דפדפן ברירת המחדל שלך והדבק אותו.
זה מוסיף המון צעדים מיותרים, ואני יכול לומר לכם שזה מעצבן מאוד. אבל אני מרגיש בטוח יותר בידיעה שאני מצמצם את הסיכוי שלי להיפגע בהתקף חור מים. חשוב על כל אותם מפתחים סלולריים בפייסבוק, טוויטר, מיקרוסופט ואפל. הם ביקרו באתר אינטרנט למפתחי iOS (ככל הנראה אתר בו הם ביקרו בקביעות, בהתחשב בעבודותיהם) באמצעות דפדפנים שאפשרו ג'אווה ונפרצו.
אם אתה מתעצבן מספיק, תעשה את הצעד הבא, שהוא לחץ על החברה להפסיק להשתמש ב- Java. "אין עוד סיבה שהאתרים משתמשים ביישומוני Java", אמר לי צ'סטר וויסנייבסקי מסופוס בכנס RSA השבוע. אתה יכול ללחוץ על ה- IT להתחיל לעבור למוצר אחר. כלקוחות תוכלו לומר לספק לספק חלופה שאינה Java, או שהגיע הזמן לחדש את המינוי או החוזה, תבטלו ותעבור למוצר אחר. כסף מדבר.
ויסנייבסקי אמר שהוא לא קיבל את ההחלטה להמליץ על כיבוי קל של ג'אווה. הוא שקל את ההשלכות בקפידה והגיע למסקנה שכרגע זה הדבר הבטוח ביותר לעשות.