Reklama

Java, niegdyś ważny element sieci, zyskała na popularności w ciągu ostatnich kilku lat. Większość współczesnych przeglądarek domyślnie blokuje Javę, a większość użytkowników domowych nie musi już jej instalować.

Od dawna słyszeliśmy, że Java jest najbardziej niepewnym oprogramowaniem dla komputerów stacjonarnych, zwłaszcza Windows. Ale czy to nadal prawda? Wejdźmy i się przekonajmy.

Historyczne problemy z Javą

Głównym powodem, dla którego Java stała się tak popularnym celem ataków, jest jej powszechność. Ponieważ Java została zaprojektowana pod kątem maksymalnej kompatybilności, działa na wielu urządzeniach. Oprócz komputerów Java obsługuje odtwarzacze Blu-ray, drukarki, systemy płatności parkingowych, urządzenia loteryjne i wiele innych. To jest przeciwieństwo bezpieczeństwo poprzez zaciemnienie: główna platforma zapewnia najlepszą wypłatę za atak.

Oczywiście zajmujemy się Javą na komputerze. A tam najgorsze przestępstwo polega na tym, że Java nie aktualizuje się automatycznie. W przeciwieństwie do większości innych współczesnych programów, Java po prostu prosi użytkownika o zainstalowanie aktualizacji, gdy są one dostępne. Co gorsza, domyślnie Java sprawdza dostępność aktualizacji tylko raz w tygodniu lub nawet raz w miesiącu. To niebezpieczne dla aplikacji z tak wieloma lukami bezpieczeństwa.

instagram viewer

Wiele osób widzi monit o aktualizację i ignoruje go, w wyniku czego uruchamiają przestarzałą wersję Java. Dzięki regularnym nowym wersjom nawet ci, którzy instalują niektóre aktualizacje, mogą być sfrustrowani i ignorować kolejne. W niektórych przypadkach, nawet gdy użytkownicy instalują nową wersję, pozostawiają również starą kopię Java. To zwiększa ich podatność na atak.

Oczywiście nie możemy zapomnieć o długiej sadze Jawy dotyczącej włączenia straszny pasek narzędzi Ask. Za każdym razem, gdy instalowałeś lub aktualizowałeś Javę, musiałeś pamiętać o odznaczeniu pola, w przeciwnym razie zawierałoby to śmieci. Chociaż nie jest to exploit, pozostawił niesmak w ustach użytkowników.

Java kończy dziś 22 lata.

Powinniśmy wysłać Oracle ciasto z paskiem Ask Toolbar.

- Tim Barrett (@timbarrett) 24 stycznia 2018 r

Nowoczesna Java

Tak było w przeszłości z Javą, ale co ostatnio?

W październiku 2017 r. Firma Veracode znalazła [No Longer Available], że 88 procent aplikacji Java zawiera co najmniej jeden wrażliwy element. Na początku 2016 r. Oracle ogłosiło to nawet instalator Java był podatny na ataki. Jeśli osoba atakująca umieści plik DLL o określonej nazwie w folderze Pobrane, spowoduje uruchomienie infekcji po uruchomieniu instalatora Java. I ogólnie, ze względu na popularność Javy, wystarczy tylko odwiedź zaatakowaną stronę internetową który wykorzystał twoją przestarzałą kopię Java do zainfekowania.

Chociaż oznacza to, że Java jest daleka od bezpieczeństwa, są też dobre wieści. Na początku 2016 r. Oracle zapowiedziało że planuje wycofać wtyczkę do przeglądarki Java (która jest źródłem większości problemów) w JDK 9, który jest już dostępny. Nowoczesne przeglądarki również pozostawiają Java. Chrome zrezygnował z obsługi Java pod koniec 2015 r. oraz Firefox przestał go obsługiwać na początku 2017 r. Przeglądarka Microsoft Edge, dołączona do systemu Windows 10, w ogóle nie obsługuje Java.

Oznacza to, że jeśli naprawdę potrzebujesz używać Java w przeglądarce, musisz trzymać się Internet Explorera.

Największe podatności

Ponieważ popularność Javy spada, co stało się jej najbardziej niepewnym oprogramowaniem komputerowym?

Najnowsze dane Flexery, od pierwszego kwartału 2017 r., ujawnia, że ​​7,8% programów na przeciętnym komputerze PC dobiegło końca. Jest w rankingu 10 najbardziej narażonych programów na podstawie udziału w rynku pomnożonego przez odsetek użytkowników, którzy nie zostali załatani:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle na PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud dla systemu Windows 6.x

Ta lista może Cię zaskoczyć. Chociaż Java nie jest najbardziej ryzykownym programem, wciąż jest drugim. Inne programy, które zwykle nie wiążą się z zagrożeniami bezpieczeństwa, takie jak VLC i Malwarebytes, również mają swoje miejsce. To pokazuje, jak ważne jest aktualizowanie całego oprogramowania, nie tylko popularnych.

Widzimy więcej, badając Raport bezpieczeństwa Avast za III kwartał 2017 r. Zawiera listę 10 najbardziej aktualnych programów na komputerach użytkowników:

  1. Java 6, 7 i 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. Vlc media player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Szybki czas
  10. Adobe Flash Player

Uwzględniając starsze wersje, wydaje się, że Java wciąż jest na czele najmniej zaktualizowanego oprogramowania. Wtyczki Adobe są również wielkimi winowajcami i widzimy, że iTunes i VLC również stworzyły tę listę.

Odwrotnie, według TechRadar, Chrome jest lepszy w przypadku zaktualizowanych aplikacji. Podczas ankiety 88% użytkowników Chrome korzystało z najnowszej wersji. To pokazuje, jak ciche automatyczne aktualizacje mają ogromną różnicę w porównaniu z dokuczliwymi monitami o aktualizację używanymi przez środowiska wykonawcze Java i Adobe.

Nie zapomnij też o aktualizacjach systemu operacyjnego

Kolejnym ważnym elementem aktualizacji, o którym należy pamiętać, są aktualizacje systemu operacyjnego. Pamiętaj, że oszczędzono użytkownikom, którzy zainstalowali automatyczne aktualizacje straszny atak ransomware w połowie 2017 roku Globalny atak ransomware i jak chronić swoje daneOgromny cyberatak uderzył w komputery na całym świecie. Czy dotknęło Cię wysoce zjadliwe samoreplikujące się oprogramowanie ransomware? Jeśli nie, w jaki sposób możesz chronić swoje dane bez płacenia okupu? Czytaj więcej . Nawet jeśli aktualizujesz oprogramowanie takie jak Java, komputer nadal jest zagrożony, jeśli nie zainstalujesz aktualizacji systemu Windows.

System Windows 10 ułatwia te automatyczne aktualizacje Plusy i minusy wymuszonych aktualizacji w systemie Windows 10Aktualizacje zmienią się w systemie Windows 10. Teraz możesz wybrać i wybrać. Jednak system Windows 10 wymusi na tobie aktualizacje. Ma zalety, takie jak poprawione bezpieczeństwo, ale może się również nie udać. Co więcej... Czytaj więcej , ale te w systemie Windows 7 mogły je wyłączyć. A ci, którzy nadal używają Windows XP prawie cztery lata po jego zakończeniu, narażają się na poważne ryzyko.

Jak naprawdę niebezpieczna jest Java?

Podsumowując, czy nadal możemy powiedzieć, że Java jest największym zagrożeniem bezpieczeństwa dla komputerów stacjonarnych? Nie całkiem. Negatywne jest to, że ludzie nadal używają przestarzałych wersji Javy, chociaż tak naprawdę ich nie potrzebują. To otwiera je na luki w zabezpieczeniach. Ponieważ jednak większość przeglądarek nie obsługuje już języka Java, nie są one otwarte na atak, jak kiedyś.

Słaby link w zabezpieczeniach twojego komputera pochodzi z najpopularniejszego oprogramowania, którego nie aktualizujesz. Jeśli masz najnowszą wersję Java, ale nadal nie masz odinstalował nieobsługiwany QuickTime dla Windowsto duże ryzyko. Posiadanie przestarzałej wersji Flasha, Adobe Readera lub iTunes może cię również otworzyć na atak.

obecny nastrój: odmowa aktualizacji oprogramowania na 18 miesięcy, a teraz narzędzie do pobierania jest nieaktualne

- ćmy (@ 13_moths) 12 lutego 2018 r

Z powyższych danych możemy wywnioskować, że programy bez automatycznych aktualizacji są zazwyczaj najmniej bezpieczne. Na przykład iTunes stale prosi użytkowników o aktualizację, co jest denerwujące. Prowadzi to do ignorowania aktualizacji i pozostawienia niezabezpieczonej wersji.

Co z komputerami Mac i Linux?

Skoncentrowaliśmy się na Javie dla systemu Windows powyżej, ale warto szybko wspomnieć, jak wpływa to również na użytkowników komputerów Mac i Linux.

Zaskakujące jest to, że chociaż Apple nie pozwala domyślnie uruchamiać wtyczek w Safari, przeglądarka nadal obsługuje stare wtyczki, takie jak Java i Silverlight. Chociaż powinieneś odinstalować Javę na komputerze Mac, chyba że jest to potrzebne z konkretnego powodu, Java nie spowodowała tylu problemów dla użytkowników komputerów Mac, jak w systemie Windows. Ostatnio pojawiło się najwięcej luk bezpieczeństwa w systemie macOS dzięki przeoczeniom samego Apple.

Muszę dla czegoś zainstalować NetBeans. Wersja Mac jest dostarczana jako pakiet instalatora (!), Który był czerwoną flagą. Ale potem chciałem zainstalować Javę…

Nie. Nie, nie, nie. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8 lutego 2018 r

Linux również nie widział żadnych unikalnych luk w zabezpieczeniach Java. Jeśli potrzebujesz przeglądarki obsługującej Javę w systemie Linux, możesz wypróbować ESR (Extended Support Release) wersja przeglądarki Firefox. Firefox zapewnia tę wersję dla środowisk biznesowych; zapewnia najnowsze aktualizacje zabezpieczeń, ale dłużej czeka na wdrożenie aktualizacji funkcji. Obecna wersja, 52, obsługuje Javę i inne starsze wtyczki będą dostępne do pewnego czasu w drugim kwartale 2018 roku.

Przyszłość bez wtyczek

Dobra wiadomość jest taka, że ​​nie potrzebujesz większości z nich potencjalnie niebezpieczne i irytujące wtyczki Myślisz, że Flash jest jedyną niezabezpieczoną wtyczką? Pomyśl jeszcze razFlash nie jest jedyną wtyczką do przeglądarki, która stanowi zagrożenie dla prywatności i bezpieczeństwa online. Oto trzy kolejne wtyczki, które prawdopodobnie zostały zainstalowane w przeglądarce, ale należy je odinstalować już dziś. Czytaj więcej już zainstalowane. Bardzo niewiele witryn korzysta z Java, a głównego programu, dla którego ludzie zainstalowali Javę - Minecraft -zawiera teraz bezpieczną pakietową wersję Java Jak zainstalować pełną wersję gry Minecraft na komputerze z systemem LinuxMinecraft to jedna z największych gier na świecie, działająca na praktycznie każdej platformie. Chcesz uruchomić go na komputerze z systemem Linux? Pokażemy ci jak. Czytaj więcej . Inne wtyczki też nie są konieczne. Microsoft wycofał się z Silverlight wiele lat temu i trudno byłoby znaleźć witrynę z treścią Shockwave.

Flash jest jedynym wyjątkiem Die Flash Die: bieżąca historia firm technologicznych próbujących zabić FlashaFlash od dawna słabnie, ale kiedy umrze? Czytaj więcej . Większość przeglądarek nadal go obsługuje ze względu na jego popularność, ale Adobe zabije go w 2020 roku. Do tego czasu pamiętaj, aby zaktualizować Flash na komputerze. Chrome robi to automatycznie, więc możesz go nawet nie zainstalować (co jest świetne).

W skrócie: Java jest nadal niepewna, ale stanowi mniejsze ryzyko dzięki wyłączającym ją przeglądarkom. Odinstaluj niepotrzebne programy (w tym stare wtyczki), aktualizuj oprogramowanie na komputerze i stosuj aktualizacje systemu operacyjnego. Jeśli to zrobisz, będziesz dobrze sytuowany.

Źródło zdjęcia: avemario /Depositphotos

Ben jest zastępcą redaktora i menedżerem postów sponsorowanych w MakeUseOf. On trzyma B.S. w Computer Information Systems z Grove City College, gdzie ukończył Cum Laude i z wyróżnieniem w swojej specjalności. Lubi pomagać innym i jest pasjonatem gier wideo jako medium.