Zakaj je Java v varnostnih sistemih Windows, Mac in Linux zdaj manj nevarna

Oglas

Java, ki je bila nekoč pomembna sestavina spleta, je v zadnjih nekaj letih vse bolj priljubljena. Večina sodobnih brskalnikov Java privzeto blokira Java in večini domačih uporabnikov je ni treba več nameščati.

Dolgo smo slišali, da je Java najbolj nevaren del programske opreme za namizne računalnike, zlasti Windows. A to še vedno drži? Vkopljemo se in ugotovimo.

Zgodovinske težave z Javo

Glavni razlog, da je Java postala tako priljubljena tarča napadov, je, kako razširjena je. Ker je bila Java zasnovana za največjo združljivost, deluje na množici naprav. Poleg računalnikov Java poganja predvajalnike Blu-ray, tiskalnike, sisteme za plačilo parkiranja, loterijske naprave in še veliko več. Prav nasprotno varnost skozi nepreglednost: glavna platforma zagotavlja najboljše izplačilo za napad.

Seveda se ukvarjamo z Java na namizju. In tam je najhujša kršitev ta, da se Java samodejno ne posodablja. Za razliko od večine drugih sodobnih programov Java preprosto prosi uporabnika, naj namesti posodobitve, ko so na voljo. Še huje je, da Java privzeto preverja, ali ima posodobitve samo enkrat na teden ali celo enkrat na mesec. To je nevarno za aplikacijo s toliko ranljivostmi varnosti.

Številni ljudje vidijo poziv za posodobitev in ga prezrejo, zaradi česar se začne zastarela različica Jave. In z novimi različicami, ki se redno ponujajo, se lahko celo tisti, ki namestijo nekatere posodobitve, zmede in prezre nadaljnje. V nekaterih primerih, tudi ko uporabniki namestijo novo različico, pustijo tudi nameščeno staro kopijo Jave. To širi njihovo ranljivost za napade.

Seveda ne moremo pozabiti, da se Java že dolgo izvaja grozno Ask Toolbar. Vsakič, ko ste namestili ali posodobili Java, morate ne pozabiti, da počistite polje, če bo vključen tisti kos smeti. Čeprav ni izkoriščanje, je to puščalo v ustih uporabnikov.

Java danes dopolni 22 let.

Oracle bi morali poslati torto z orodno vrstico Ask.

- Tim Barrett (@timbarrett) 24. januarja 2018

Sodobna Java

To je bilo z Javo v preteklosti narobe, kaj pa je bilo v zadnjem času?

Oktobra 2017 je Veracode ugotovil [No Longer Available], da 88 odstotkov aplikacij Java vsebuje vsaj eno ranljivo komponento. V začetku leta 2016 je Oracle to objavil tudi namestitveni program Java je bil ranljiv. Če bi napadalec v datoteko za prenose namestil datoteko DLL z določenim imenom, bi to sprožilo okužbo, ko ste zagnali namestitveni program Java. In na splošno bi morali zaradi priljubljenosti Jave le to storiti obiščite ogroženo spletno mesto ki so izkoristili vašo zastarelo kopijo Java za okužbo.

Čeprav to pomeni, da Java še zdaleč ni varna, obstajajo tudi dobre novice. V začetku leta 2016 je dr. Oracle je napovedal da načrtuje opustitev vtičnika za brskalnik Java (ki je vir večine težav) v JDK 9, ki je na voljo zdaj. Sodobni brskalniki so za seboj pustili tudi Javo. Chrome je prenesel podporo Java konec leta 2015 in Firefox je prenehal podpirati v začetku leta 2017. Microsoftov brskalnik Edge, ki je priložen Windows 10, sploh ne podpira Jave.

To pomeni, da se boste morali, če boste resnično uporabljali Java v brskalniku, držati Internet Explorerja.

Največje ranljivosti

Ker je Java upadala po priljubljenosti, kaj je zasedlo mesto najbolj nevarne namizne programske opreme?

Najnovejši podatki družbe Flexera, od prvega četrtletja 2017 razkriva, da je 7,8% programov na povprečnem računalniku do konca življenja. Uvršča se med 10 najbolj izpostavljenih programov na podlagi tržnega deleža, pomnoženega s odstotkom uporabnikov, ki niso zakrpani:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle za PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud za Windows 6.x

Ta seznam vas lahko preseneti. Čeprav Java ni najbolj tvegan program, je še vedno drugi. Tudi drugi programi, ki jih običajno ne povezujemo z varnostnimi tveganji, na primer VLC in Malwarebytes, imajo tudi točko. To kaže na pomembnost posodabljanja vse programske opreme, ne le priljubljene.

Več lahko vidimo, če preučimo Avastovo varnostno poročilo za tretje četrtletje 2017. Navaja najboljših 10 najbolj zastarelih programov v računalnikih svojih uporabnikov:

1. Java 6, 7 in 8
2. Adobe Air
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Firefox
7. 7-zadrga
8. WinRAR
9. Hitri čas
10. Adobe Flash Player

Ko vključite starejše različice, se zdi, da Java še vedno prekaša najmanj posodobljeno programsko opremo. Adobejevi vtičniki so prav tako veliki krivci in videli smo, da so se na ta seznam uvrstili tudi iTunes in VLC.

In obratno, po TechRadarju, Chrome prihaja na vrh za posodobljene aplikacije. V anketi je imelo 88% uporabnikov Chrome, ki imajo nameščeno najnovejšo različico. To kaže, kako tihe samodejne posodobitve močno spremenijo v primerjavi s pozivi za posodobitev, ki jih uporabljata Java in Adobe runtimes.

Ne pozabite preveč posodobitev za OS

Druga pomembna sestavina posodobitve, ki si jo je treba zapomniti, so posodobitve za OS. Ne pozabite, da so bili uporabniki, ki so imeli nameščene samodejne posodobitve, prizaneseni grozni napad z ransomware sredi leta 2017 Global Ransomware Attack in kako zaščititi svoje podatkeObsežen kibernetski napad je prizadel računalnike po vsem svetu. Vas je prizadel zelo virulenten samoponovljiv odkupni program? Če ne, kako lahko zaščitite svoje podatke, ne da bi plačali odkupnino? Preberi več . Tudi če stalno posodabljate programsko opremo, kot je Java, je računalnik še vedno v nevarnosti, če ne nameščate posodobitev sistema Windows.

Windows 10 olajša te samodejne posodobitve Prednosti in slabosti prisilnih posodobitev v sistemu Windows 10Posodobitve se bodo spremenile v sistemu Windows 10. Trenutno lahko izbirate. Vendar bo Windows 10 na vas prisilil posodobitve. Ima prednosti, kot je izboljšana varnost, lahko pa gre tudi narobe. Kaj je več... Preberi več , toda tisti v sistemu Windows 7 so jih morda onemogočili. Tisti, ki še vedno uporabljajo Windows XP skoraj štiri leta po koncu življenjske dobe, so izpostavljeni velikemu tveganju.

Kako nevarna je Java, res?

Ali lahko skupaj povemo, da je Java največje varnostno tveganje za namizja? V resnici ne. Z negativne strani ljudje še vedno izvajajo zastarele različice Jave, čeprav je res ne potrebujejo. To jih odpira do varnostnih ranljivosti. Ker pa večina brskalnikov ne podpira Java več, niso odprti za napad kot nekoč.

Šibka povezava v varnosti vašega računalnika izvira iz najbolj priljubljenega dela programske opreme, ki ga ne posodabljate. Če imate najnovejšo različico Jave, vendar je še vedno niste odstranite nepodprti QuickTime za Windows, to je veliko tveganje. Zastarela različica Flash, Adobe Reader ali iTunes bi vas lahko odprla tudi za napad.

trenutno razpoloženje: 18 mesecev zanikajte posodobitev programske opreme, orodje za prenos pa je zastarelo

- moli (@ 13_moths) 12. februar 2018

Iz zgornjih podatkov lahko razberemo, da so programi brez samodejnih posodobitev običajno najmanj varni. Na primer, iTunes nenehno prosi uporabnike za posodobitev, kar je moteče. Zaradi tega ljudje ignorirajo posodobitve in pustijo nameščeno negotovo različico.

Kaj pa Mac in Linux?

Zgoraj smo se osredotočili na Java za Windows, vendar je vredno hitro omeniti, kako to vpliva tudi na Mac in Linux uporabnike.

Presenetljivo je, da Apple v Safariju ne dovoli privzeto zagnanih vtičnikov, vendar brskalnik še vedno podpira stare vtičnike, kot sta Java in Silverlight. Čeprav morate na Mac Mac odstraniti Java, če je ne potrebujete iz določenega razloga, Java ni povzročila toliko težav uporabnikom Mac, kot jih ima v operacijskem sistemu Windows. V zadnjem času je bilo največ varnostnih lukenj v macOS-u zahvaljujoč se vpogledom Apple samega.

Za nekaj moram namestiti NetBeans. Različica Mac je na voljo kot namestitveni paket (!), Ki je bil rdeča zastava. Potem pa sem hotel namestiti Javo ...

Ne. Nope nope nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8. februar 2018

Tudi Linux ni videl nobene edinstvene ranljivosti Java. Če potrebujete brskalnik, ki podpira Java v Linuxu, lahko poskusite ESR (Extended Support Release) različica Firefoxa. Firefox ponuja to različico za poslovna okolja; ponuja najnovejše varnostne posodobitve, vendar čaka dlje, da se uvedejo posodobitve funkcij. Trenutna različica, 52, podpira Java in druge starejše vtičnike, bo na voljo do nekje v drugem četrtletju 2018.

Prihodnost brez vtičnikov

Dobra novica je, da večine teh ne potrebujete potencialno nevarni in nadležni vtičniki Mislite, da je Flash edini negotov vtičnik? Pomisli še enkratFlash ni edini vtičnik brskalnika, ki predstavlja tveganje za vašo spletno zasebnost in varnost. Tu so še trije vtičniki, ki ste jih verjetno namestili v brskalnik, vendar jih je treba danes odstraniti. Preberi več nameščen več. Zelo malo spletnih mest uporablja Javo in glavni program, za katerega so ljudje nameščali Javo - Minecraft -zdaj vključuje varno paketno različico Jave Kako namestiti polno različico Minecrafta na računalnik LinuxMinecraft je ena največjih iger na svetu in deluje na skoraj vseh platformah. Ali želite, da se zažene v računalniku Linux? Pokazali vam bomo, kako. Preberi več . Tudi drugi vtičniki niso potrebni. Microsoft je pred leti opustošil Silverlight in težko bi se znašli poiskati spletno mesto z vsebino Shockwave.

Flash je osamljena izjema Die Flash Die: Potek zgodovine tehnoloških podjetij, ki poskušajo ubiti FlashFlash je že dolgo v upadu, a kdaj bo umrl? Preberi več . Večina brskalnikov ga še vedno podpira zaradi svoje priljubljenosti, vendar Adobe ga bo ubil leta 2020. Do takrat pazite, da na računalniku posodobite Flash. Chrome to naredi samodejno, zato ga morda niti ne nameščate več (kar je odlično).

Torej na kratko: Java je še vedno negotova, vendar predstavlja manjše tveganje, ker jo brskalniki onemogočijo. Odstranite programe, ki jih ne potrebujete (vključno s starimi vtičniki), posodabljajte programsko opremo v računalniku in uporabljajte posodobitve OS. Če to storite, boste dobro razpoloženi.

Kreditna slika: avemario /depositphotos