Защо Java е по-малко от риск за сигурността сега в Windows, Mac и Linux

реклама

Java, някога жизненоважен компонент в мрежата, намаля популярността си през последните няколко години. Повечето съвременни браузъри блокират Java по подразбиране, а по-голямата част от домашните потребители няма нужда да я инсталират вече.

Отдавна чуваме, че Java е единственият най-несигурен софтуер за настолни компютри, особено Windows. Но дали това все още е вярно? Нека се разровим и разберем.

Историческите проблеми с Java

Основната причина, поради която Java е станала толкова популярна мишена за атака, е колко е широко разпространена. Тъй като Java е проектиран за максимална съвместимост, той работи на множество устройства. В допълнение към компютрите, Java разполага с Blu-ray плейъри, принтери, системи за плащане на паркинг, лотарийни устройства и много други. То е обратното на сигурност чрез неизвестност: основна платформа осигурява най-доброто изплащане за атака.

Разбира се, имаме отношение към Java на работния плот. И там най-лошото престъпление е, че Java не се актуализира автоматично. За разлика от повечето други съвременни програми, Java просто моли потребителя да инсталира актуализации, когато има такива. Още по-лошо е, че Java по подразбиране проверява за актуализации само веднъж седмично или дори веднъж месечно. Това е опасно за приложение с толкова много уязвими места в сигурността.

Много хора виждат подкана за актуализация и я игнорират, което води до тях, остаряла версия на Java. А с новите версии, предлагани редовно, дори тези, които инсталират някои актуализации, могат да се разстроят и да игнорират други. В някои случаи, дори когато потребителите инсталират нова версия, те оставят и старото копие на Java. Това разширява тяхната уязвимост за атака.

Разбира се, не можем да забравим дългогодишната сага на Java за включване ужасната Ask Toolbar. Всеки път, когато инсталирате или актуализирате Java, трябва да не забравяте да премахнете отметката от кутия или тя ще включва това парче боклуци. Макар и да не е експлоатация, това остави лош вкус в устата на потребителите.

Java днес навършва 22 години.

Трябва да изпратим на Oracle торта с лентата с инструменти Ask.

- Тим Барет (@timbarrett) 24 януари 2018 г.

Модерна Java

Това е, което не беше наред с Java в миналото, но какво да кажем наскоро?

През октомври 2017 г. Veracode установи [No Longer Available], че 88 процента от Java приложения съдържат поне един уязвим компонент. В началото на 2016 г. Oracle обяви това дори инсталаторът на Java беше уязвим. Ако нападател постави DLL файл с конкретно име в папката си Downloads, това ще предизвика заразяване, когато стартирате инсталатора на Java. И като цяло, поради популярността на Java, ще трябва само посетете компрометиран уебсайт които се възползваха от остарялото ви копие на Java, за да бъдат заразени.

Въпреки че това означава, че Java далеч не е безопасна, има и добри новини. В началото на 2016г. Oracle обяви че планира да премахне приставката за браузър Java (която е източник на повечето проблеми) в JDK 9, който е наличен сега. Съвременните браузъри също оставят Java след себе си. Chrome отказа поддръжка за Java в края на 2015 г. и Firefox спря да го поддържа в началото на 2017г. Браузърът на Microsoft на Edge, включен в Windows 10, изобщо не поддържа Java.

Това означава, че ако наистина трябва да използвате Java в браузър, ще трябва да се придържате към Internet Explorer.

Най-големите уязвимости

Тъй като Java намалява с популярността си, какво заема мястото си като най-несигурния софтуер за десктоп?

Последните данни на Flexera, от първото тримесечие на 2017 г., разкрива, че 7,8% от програмите на средния компютър са достигнали края на живота си. Той класира топ 10 на най-изложените програми въз основа на пазарния дял, умножен по процент от потребителите, които не са кръпка:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle за PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud за Windows 6.x

Този списък може да ви изненада. Въпреки че Java не е най-рисковата програма, тя все още е втората. Други програми, които обикновено не свързваме с рискове за сигурността, като VLC и Malwarebytes, също имат място. Това илюстрира важността на актуализирането на целия ви софтуер, а не само на популярния.

Можем да видим повече, като разгледаме Отчет за сигурност на Avast Q3 2017. Той изброява топ 10 на най-актуалните програми на компютрите на своите потребители:

1. Java 6, 7 и 8
2. Adobe Air
3. Adobe Shockwave
4. VLC Media Player
5. качи
6. Firefox
7. 7-Zip
8. WinRAR
9. QuickTime
10. Adobe Flash Player

Когато включите по-старите версии, изглежда, че Java все още е най-малко актуализираният софтуер. Приставките на Adobe също са големи виновници и виждаме, че iTunes и VLC също направиха този списък.

От друга страна, според TechRadar, Chrome излиза отгоре за актуализирани приложения. При анкетата 88% от потребителите, работещи с Chrome, са инсталирали най-новата версия. Това показва как тихите автоматични актуализации правят огромна разлика в сравнение с заяждащите подкани за актуализация, използвани от Java и Adobe runtimes.

Не забравяйте прекалено актуализациите на ОС

Друг жизненоважен компонент на актуализацията, която трябва да запомните, са актуализациите на ОС. Не забравяйте, че потребителите, които са инсталирали автоматични актуализации, бяха пощадени от ужасната атака за откупи в средата на 2017 г. Глобалната атака на Ransomware и как да защитим вашите данниМащабна кибератака удари компютрите по целия свят. Били ли сте засегнати от силно вирулентния самовъзпроизвеждащ се откупник? Ако не, как можете да защитите данните си, без да плащате откуп? Прочетете още . Дори и да поддържате актуален софтуер като Java, компютърът ви все още е изложен на риск, ако не инсталирате актуализации на Windows.

Windows 10 прави тези автоматични актуализации лесни Плюсовете и минусите на принудителните актуализации в Windows 10Актуализациите ще се променят в Windows 10. В момента можете да избирате и избирате. Windows 10 обаче ще ви наложи актуализации. Той има предимства, като подобрена сигурност, но може да се обърка. Какво още... Прочетете още , но тези в Windows 7 може да са ги деактивирали. А тези, които все още използват Windows XP почти четири години след края на живота му, са изложени на основен риск.

Колко опасна е Java, наистина?

Взети заедно, можем ли все още да кажем, че Java е най-големият риск за сигурността на настолните компютри? Не точно. От негативна страна, хората все още продължават да използват остарели версии на Java, въпреки че наистина не се нуждаят от нея. Това ги отваря до уязвими места в сигурността. Въпреки това, тъй като повечето браузъри не поддържат Java вече, те не са отворени за атака, както някога.

Слабата връзка в сигурността на вашия компютър идва от най-популярния софтуер, който не поддържате актуализиран. Ако имате най-новата версия на Java, но все още нямате деинсталирате неподдържания QuickTime за Windows, това е голям риск. Наличието на остаряла версия на Flash, Adobe Reader или iTunes може да ви отвори и за атака.

текущо настроение: отричане на актуализация на софтуера за 18 месеца и сега инструментът за изтегляне е остарял

- молци (@ 13_moths) 12 февруари 2018г

От данните по-горе можем да видим, че програмите без автоматични актуализации обикновено са най-малко защитени. Например iTunes постоянно моли потребителите да актуализират, което е досадно. Това кара хората да игнорират актуализациите и да оставят несигурна версия.

Какво ще кажете за Mac и Linux?

По-горе сме се съсредоточили върху Java за Windows, но си струва бързо да споменем как това се отразява и на потребителите на Mac и Linux.

Изненадващо, докато Apple не позволява на плъгините да се изпълняват по подразбиране в Safari, браузърът все още поддържа старите плъгини като Java и Silverlight. Въпреки че трябва да деинсталирате Java на вашия Mac, освен ако не ви е необходима по конкретна причина, Java не е създала толкова проблеми за потребителите на Mac, колкото има в Windows. Напоследък има повечето дупки за сигурност в macOS благодарение на пропуските от самия Apple.

Трябва да инсталирам NetBeans за нещо. Версията за Mac се доставя като инсталационен пакет (!), Който беше червен флаг. Но тогава исках да инсталирам Java ...

Не. Nope nope nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8 февруари 2018г

Linux също не е виждал уникални уязвимости на Java. Ако имате нужда от браузър, който поддържа Java на Linux, можете да опитате ESR (Extended Support Release) версия на Firefox. Firefox предоставя тази версия за бизнес среди; той предоставя най-новите актуализации на защитата, но чака по-дълго време, за да внесе актуализации на функциите. Текущата версия, 52, поддържа Java и други наследени плъгини ще бъдат налични до някъде през Q2 2018.

Бъдеще без приставки

Добрата новина е, че не се нуждаете от повечето от тях потенциално опасни и досадни приставки Помислете, че Flash е единственият несигурен плъгин? Помисли отновоFlash не е единственият плъгин за браузъра, който представлява риск за вашата онлайн поверителност и сигурност. Ето още три приставки, които вероятно сте инсталирали в браузъра си, но трябва да деинсталирате днес. Прочетете още инсталиран вече. Много малко уебсайтове използват Java и основната програма, за която хората поддържаха Java инсталирана - Minecraft -сега включва сигурна пакетна версия на Java Как да инсталирате пълната версия на Minecraft на компютър с LinuxMinecraft е една от най-големите игри в света и работи на почти всяка платформа. Искате ли да го стартирате на вашия Linux компютър? Ще ви покажем как. Прочетете още . Други плъгини също не са необходими. Майкрософт остарял Silverlight преди години и ще ви е трудно да намерите сайт със съдържание на Shockwave.

Flash е самотното изключение Die Flash Die: Текущата история на технологичните компании, които се опитват да убият FlashСветкавицата е в упадък отдавна, но кога ще умре? Прочетете още . Повечето браузъри все още го поддържат поради популярността му, но Adobe ще го убие през 2020 г.. Дотогава не забравяйте да актуализирате Flash на вашия компютър. Chrome прави това автоматично, така че може дори да не го инсталирате вече (което е чудесно).

Накратко: Java все още е несигурна, но крие по-малък риск благодарение на браузърите, които я деактивират. Трябва да деинсталирате програми, които не ви трябват (включително стари приставки), да поддържате актуализиран софтуера на компютъра си и да прилагате актуализации на ОС. Ако направите това, ще бъдете добре.

Кредитна снимка: avemario /Depositphotos