Miks on Java nüüd turvariskidest vähem opsüsteemides Windows, Mac ja Linux

Reklaam

Java, mis on kunagi olnud veebi oluline komponent, on viimastel aastatel populaarsuse langenud. Enamik tänapäevaseid brausereid blokeerib Java vaikimisi ja enamus kodukasutajaid ei pea seda enam installima.

Oleme juba ammu kuulnud, et Java on lauaarvutite, eriti Windowsi, kõige ebaturvalisem tarkvara. Aga kas see on ikka tõsi? Kaevame sisse ja saame teada.

Ajaloolised probleemid Javaga

Peamine põhjus, miks Java on muutunud nii populaarseks rünnakuobjektiks, on selle laialdane levik. Kuna Java oli loodud maksimaalse ühilduvuse jaoks, töötab see hulga seadmetega. Java kasutab lisaks arvutitele ka Blu-ray-mängijaid, printereid, parkimismaksete süsteeme, loteriiseadeid ja palju muud. See on vastupidine turvalisus läbi varjamise: suur platvorm pakub parimat tasu rünnaku eest.

Muidugi oleme mures Java töölaua pärast. Ja seal on kõige hullem süü, et Java ei värskenda ennast automaatselt. Erinevalt enamikust teistest tänapäevastest programmidest palub Java kasutajal lihtsalt värskendused installida, kui need on saadaval. Veelgi hullem, Java kontrollib vaikimisi värskendusi ainult kord nädalas või isegi üks kord kuus. See on ohtlik rakenduse jaoks, millel on nii palju turvaauke.

Paljud inimesed näevad värskenduse viipat ja ignoreerivad seda, mille tulemusel nad kasutavad Java vananenud versiooni. Regulaarselt pakutavate uute versioonide korral võivad isegi need, kes mõnda värskendust installivad, pettumuse osaliseks ja edasisi versioone eirata. Mõnel juhul jätavad nad isegi uue versiooni installimisel installitud ka Java vana eksemplari. See suurendab nende haavatavust rünnaku vastu.

Muidugi ei saa unustada Java pikaajalist saaga kaasata kohutav küsi tööriistariba. Iga kord, kui Java installite või värskendasite, pidite meeles, et tühjendage ruut, vastasel juhul sisaldab see seda rämpsu. Ehkki tegemist ei ole ekspluateerimisega, jättis see kasutajate suus halva maitse.

Java saab täna 22-aastaseks.

Me peaksime saatma Oracle'ile koogi, mille peal on Ask Toolbar.

- Tim Barrett (@timbarrett) 24. jaanuar 2018

Kaasaegne Java

Niisiis, mis Java-ga minevikus valesti oli, aga mis saab hiljuti?

Veracode leidis 2017. aasta oktoobris [Pole enam saadaval], et 88 protsenti Java-rakendustest sisaldab vähemalt ühte haavatavat komponenti. 2016. aasta alguses teatas Oracle, et isegi Java installer oli haavatav. Kui ründaja paigutas teie kausta Allalaadimised kindla nimega DLL-faili, käivitab see Java installija käivitamisel nakkuse. Ja üldiselt oleks Java populaarsuse tõttu vaja ainult seda külastage ohustatud veebisaiti mis nakatumiseks kasutas ära teie vananenud Java koopia.

Ehkki see tähendab, et Java pole kaugeltki ohutu, on ka häid uudiseid. 2016. aasta alguses Teatas Oracle et plaanib nüüd saadaval oleva JDK 9 Java-brauseri pistikprogrammi (mis on enamike probleemide allikas) amortiseerida. Kaasaegsed brauserid on Java maha jätnud. Chrome lõpetas Java toe 2015. aasta lõpus ja Firefox lõpetas selle toetamise 2017. aasta alguses. Microsofti brauser Edge, mis kuulub Windows 10 koosseisu, ei toeta Java üldse.

See tähendab, et kui peate Java-sid brauseris tõesti kasutama, peate kasutama Internet Explorerit.

Suurimad haavatavused

Kuna Java populaarsus on langenud, mis on selle kõige ebaturvalisema lauaarvutitarkvara koht?

Flexera viimased andmed, alates 2017. aasta I kvartalist, näitab, et 7,8% keskmise personaalarvuti programmidest on elu lõpuni jõudnud. See reastab kümme kõige paremini kuvatavat programmi, tuginedes turuosale, korrutatuna nende kasutajate protsendiga, kes pole paika pannud:

1. iTunes 12.x
2. Java 8.x
3. VLC meediumipleier 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle PC 1.x jaoks
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud Windows 6.x jaoks

See nimekiri võib teid üllatada. Kuigi Java pole kõige riskantsem programm, on see siiski teine. Ka teised programmid, mida me tavaliselt turvariskidega ei seosta, nagu VLC ja Malwarebytes, omavad tähelepanu. See näitab, kui oluline on kogu oma tarkvara, mitte ainult populaarse tarkvara ajakohastamine.

Rohkem näeme uurides Avast'i 2017. aasta 3. kvartali turvaaruanne. See loetleb oma kasutajate personaalarvutites kümme parimat aegunud programmi:

1. Java 6, 7 ja 8
2. Adobe Air
3. Adobe Shockwave
4. VLC meediumipleier
5. iTunes
6. Firefox
7. 7-tõmblukk
8. WinRAR
9. QuickTime
10. Adobe Flash player

Vanemate versioonide lisamisel näib, et Java on endiselt kõige vähem värskendatud tarkvara. Adobe pistikprogrammid on samuti suured süüdlased ja näeme, et ka iTunes ja VLC tegid selle loendi.

Ja vastupidi vastavalt TechRadarile, Ilmub värskendatud rakenduste jaoks Chrome. Küsitluse korral oli 88% -l Chrome'i kasutavatest kasutajatest installitud uusim versioon. See näitab, kuidas vaikivatel automaatvärskendustel on tohutu erinevus, võrreldes Java ja Adobe käitusaegade kasutatavate naggingi värskendusviipidega.

Ärge unustage ka OS-i värskendusi

Teine värskenduse oluline komponent, mida meeles pidada, on OS-i värskendused. Pidage meeles, et kasutajad, kellele olid installitud automaatsed värskendused, olid säästetud kohutav lunavara rünnak 2017. aasta keskel Globaalne Ransomware rünnak ja kuidas teie andmeid kaitstaMassiivne küberrünnak on tabanud arvuteid kogu maailmas. Kas teid on mõjutanud väga virulentsed isepaljunevad lunavara? Kui ei, siis kuidas saate kaitsta oma andmeid lunaraha maksmata? Loe rohkem . Isegi kui hoiate tarkvara nagu Java ajakohasena, on teie arvuti endiselt ohus, kui te ei installi Windowsi värskendusi.

Windows 10 muudab need automaatsed värskendused lihtsaks Sunnitud värskenduste plussid ja miinused Windows 10-sUuendused muutuvad Windows 10-s. Praegu saate valida. Windows 10 sunnib aga värskendusi teile tegema. Sellel on eeliseid, nagu parem turvalisus, kuid see võib ka valesti minna. Mis veel... Loe rohkem , kuid Windows 7 kasutajad võivad need keelata. Ja need, kes kasutavad Windows XP-d alles neli aastat pärast selle lõppemist, seavad end tõsisesse ohtu.

Kui ohtlik on Java tegelikult?

Kas kõik kokku võttes võib ikkagi öelda, et Java on lauaarvutite suurim turvarisk? Mitte päris. Negatiivse poole pealt jätkavad inimesed endiselt Java vananenud versioonide kasutamist, ehkki nad seda tegelikult ei vaja. See avab neid turvaaukude jaoks. Kuna enamik brauseritest Java enam ei toeta, pole nad rünnakutele avatud nagu kunagi varem.

Teie arvuti turvalisuse nõrk lüli pärineb kõige populaarsemast tarkvarast, mida te pidevalt ei värskenda. Kui teil on Java uusim versioon, kuid te pole seda veel teinud desinstallida toetamata QuickTime for Windows, see on suur risk. Kui teil on Flashi, Adobe Readeri või iTunes'i vananenud versioon, võib see teid rünnata.

praegune meeleolu: tarkvarauuenduse keelamine 18 kuud ja nüüd on allalaaditav tööriist aegunud

- koid (@ 13_ koid) 12. veebruar 2018

Ülaltoodud andmete põhjal võib järeldada, et automaatse värskenduseta programmid on tavaliselt kõige vähem turvalised. Näiteks iTunes palub kasutajatel pidevalt värskendusi, mis on tüütu. See sunnib inimesi uuendusi ignoreerima ja ebaturvalise versiooni installima.

Aga Mac ja Linux?

Oleme eespool keskendunud Java for Windowsile, kuid tasub kiiresti mainida, kuidas see mõjutab ka Maci ja Linuxi kasutajaid.

Üllatav on see, et kuigi Apple ei luba Safaris vaikimisi pistikprogramme käitada, toetab brauser siiski vanu pistikprogramme, nagu Java ja Silverlight. Ehkki peaksite Java oma Macist desinstallida, kui te seda konkreetsel põhjusel ei vaja, pole Java põhjustanud Maci kasutajatele nii palju probleeme kui Windowsil. Viimasel ajal on enamik macOS-i turvaauke olnud tänu Apple endapoolsetele märkustele.

Ma pean NetBeans'i millegi jaoks installima. Maci versioon tarnitakse installipaigana (!), Mis oli punane lipp. Siis aga soovis see, et ma installeeriksin Java ...

Ei. No ei kiire. Noooooooooooooooooooooooooooooooooooooooooooooo.

- Cyberpunk 2077 Sucks (@_nulldragon) 8. veebruar 2018

Ka pole Linux unikaalseid Java haavatavusi näinud. Kui vajate brauserit, mis toetab Java Linuxis, võite proovida Firefoxi ESR (laiendatud tugiteenuste väljalase) versioon. Firefox pakub seda versiooni ärikeskkondade jaoks; see pakub uusimaid turvavärskendusi, kuid ootab kauem funktsioonide värskenduste kasutuselevõttu. Praegune versioon 52 toetab Java ja muid pärand pluginaid on saadaval kuni millalgi 2018. aasta teises kvartalis.

Pluginavaba tulevik

Hea uudis on see, et te ei vaja enamikku neist potentsiaalselt ohtlikud ja tüütud pistikprogrammid Kas arvate, et välklamp on ainus ebaturvaline pistikprogramm? Mõtle uuestiFlash pole ainus brauseri pistikprogramm, mis seab ohtu teie veebipõhise privaatsuse ja turvalisuse. Siin on veel kolm pistikprogrammi, mille olete tõenäoliselt oma brauserisse installinud, kuid peaksite selle juba täna desinstallima. Loe rohkem installitud enam. Väga vähesed veebisaidid kasutavad Java ja peamine programm, mille jaoks inimesed Java Java installisid - Minecraft -sisaldab nüüd Java turvalist komplekteeritud versiooni Kuidas installida Minecrafti täisversioon Linuxi arvutisseMinecraft on üks suurimaid mänge maailmas ja töötab praktiliselt igal platvormil. Kas soovite seda oma Linuxi arvutis käivitada? Näitame teile kuidas. Loe rohkem . Ka muud pistikprogrammid pole vajalikud. Microsoft alandas Silverlighti aastaid tagasi ja teil oleks raske leida Shockwave'i sisuga saiti.

Välk on üksik erand Die Flash Die: Flashi tapmist üritavate tehnoloogiaettevõtete praegune ajaluguVälk on pikka aega olnud languses, kuid millal see sureb? Loe rohkem . Enamik brausereid toetab seda endiselt oma populaarsuse tõttu, kuid Adobe tapab selle 2020. aastal. Kuni selle ajani veenduge, et värskendaksite oma arvutis Flashi. Chrome teeb seda automaatselt, nii et võib-olla pole teil seda isegi enam installitud (mis on tore).

Lühidalt: Java on endiselt ebakindel, kuid kujutab endast vähem ohtu tänu brauseritele, kes selle keelavad. Peaksite desinstallida programme, mida te ei vaja (sealhulgas vanad pistikprogrammid), hoidma oma arvutis olevat tarkvara värskendatud ja rakendama OS-i värskendusi. Kui teete seda, on teil hea olek.

Pildikrediit: avemario /Depositphotos