Casa Vigilant de seguretat S'ha trobat un altre dia de java zero, que hagueu de publicar el complement del navegador

S'ha trobat un altre dia de java zero, que hagueu de publicar el complement del navegador

Vídeo: МЕХАНИК С АДМИНСКИМ ТУЛГАНОМ УБИВАЕТ ИГРОКОВ | DarkRP | Garry`s Mod | Гмод даркрп отыгровка рп (De novembre 2024)

Vídeo: МЕХАНИК С АДМИНСКИМ ТУЛГАНОМ УБИВАЕТ ИГРОКОВ | DarkRP | Garry`s Mod | Гмод даркрп отыгровка рп (De novembre 2024)
Anonim

Els investigadors han descobert una altra vulnerabilitat del dia zero en Java i actualment els atacants l'estan explotant en estat salvatge.

El defecte de seguretat, si es produeix, condueix a la lectura i escriptura de memòria arbitrària a la màquina virtual de Java, Darien Kindlund i Yichong Lin, dos investigadors de FireEye, van escriure dijous al bloc FireEye Malware Intelligence Lab. Si té èxit, el codi d’atac descarrega un goter McRAT i un troià que roba informació a l’ordinador de la víctima. És un tipus diferent de defectes que alguns dels altres que hem vist recentment.

FireEye va dir que diversos dels seus clients van veure activat l'atac contra navegadors amb Java. Els defectes de seguretat es troben a l’actualització 41 de Java v.1.6 i l’última actualització Java v1.7 15, que s’acaba de publicar el 19 de febrer, segons FireEye. Els investigadors ja han revelat la vulnerabilitat a Oracle (CVE-2013-1493). Actualment no hi ha cap altra informació disponible a Oracle.

Més Zero-Days

Els investigadors de FireEye van resumir bé el sentiment predominant en el títol de la publicació, "YAJ0: Yun Another Java 0-Day". Si bé Java ha estat un objectiu d’atac popular des de fa temps, sembla haver-hi una explotació de Java que fa zero dies que s’explota. durant els dos últims mesos. És el mateix joc de gats i ratolins que hem vist amb altres empreses. Es troba un dia zero, l’empresa l’aconsegueix enganxar, es troba un nou dia zero. Rentar, esbandir i repetir.

Oracle, la companyia coneguda per la seva reticència a alliberar els pedaços fora de calendari, ha publicat diverses actualitzacions d’emergència l’any passat perquè els errors han estat tan greus. La companyia va publicar una actualització programada el 19 de febrer, però és probable que aquest error produeixi un altre pegat d'emergència.

Desactiveu-lo, o Limiteu-lo

Esteu cansats de tota la bona alegria i voleu una manera de saltar? Desactiveu Java al navegador. Desactiva el connector. Us mostrem com desactivar Java. És una de les moltes, moltes persones que necessiten Java amb finalitats laborals i escolars i no pot desactivar Java al navegador?

Aquí teniu el que podeu fer. Desactiveu Java en el vostre navegador principal predeterminat. El navegador que utilitzeu més no ha de tenir en absolut Java. A continuació, instal·leu el navegador que no feu servir tot sovint, la majoria de les persones en general tenen més d'un navegador instal·lat als seus ordinadors, i activeu Java en aquest sentit. L’important aquí és, però, que no utilitzeu mai, absolutament mai, aquest navegador per anar a qualsevol lloc que no sigui el grapat de llocs on necessiteu executar Java. Necessiteu utilitzar la pissarra? Aprèn el navegador Java. Necessiteu buscar alguna cosa que s'ha esmentat durant la sessió de Pissarra? En lloc de fer clic, copieu l'enllaç, activeu el navegador predeterminat i enganxeu-lo.

Afegeix molts passos addicionals, i puc dir que és tremendament molest. Però em sento més segur sabent que estic reduint les meves possibilitats de rebre un atac amb un forat de reg. Penseu en tots aquells desenvolupadors de telefonia mòbil a Facebook, Twitter, Microsoft i Apple. Van visitar un lloc web per a desenvolupadors d’IOS (probablement un lloc que van visitar amb regularitat, tenint en compte la seva feina) amb navegadors que tenien activat Java i van quedar compromesos.

Si us molesta prou, fareu el següent pas, la qual cosa pressionarà la companyia perquè deixi d’utilitzar Java. "Ja no hi ha cap raó perquè els llocs web utilitzin applets Java", em va dir Chester Wisniewski, de Sophos, a la Conferència RSA d'aquesta setmana. Podeu pressionar TI per començar a canviar a un producte diferent. Com a clients, podeu dir-li al venedor que tingui una alternativa que no sigui Java o, quan arribi el moment de renovar la subscripció o contracte, cancel·larà i anirà a un producte diferent. Els diners parlen.

Wisniewski va dir que no va prendre la decisió de recomanar apagar Java lleugerament. Va considerar detingudament les ramificacions i va arribar a la conclusió que, de moment, era el més segur de fer.

S'ha trobat un altre dia de java zero, que hagueu de publicar el complement del navegador