Дом Securitywatch Найден еще один Java-номер нулевого дня, сбросьте плагин для браузера

Найден еще один Java-номер нулевого дня, сбросьте плагин для браузера

Видео: HUGE EGGS Surprise Toys Challenge with Inflatable water slide (Ноябрь 2024)

Видео: HUGE EGGS Surprise Toys Challenge with Inflatable water slide (Ноябрь 2024)
Anonim

Исследователи обнаружили еще одну уязвимость нулевого дня в Java, и злоумышленники в настоящее время используют ее в открытом доступе.

Дефект безопасности, если он срабатывает, приводит к произвольному чтению и записи памяти в виртуальной машине Java, Дариен Киндлунд и Ичонг Лин, два исследователя из FireEye, написали в четверг в блоге FireEye Malware Intelligence Lab. В случае успеха код атаки загружает на компьютер жертвы пипетку McRAT и трояна для кражи информации. Это другой тип недостатка, чем некоторые другие, которые мы видели недавно.

FireEye сказал, что несколько его клиентов видели атаку против браузеров с включенной Java. Недостатки безопасности в Java v.1.6 Update 41 и последнем Java v1.7 Update 15, который был выпущен только 19 февраля, сообщает FireEye. Исследователи уже раскрыли уязвимость к Oracle (CVE-2013-1493). Никакой другой информации в настоящее время нет в Oracle.

Больше нулевых дней

Исследователи FireEye хорошо подытожили преобладающие настроения в названии поста «YAJ0: еще один Java-0-Day». Хотя Java уже давно является популярной целью атаки, похоже, что эксплойт Java эксплуатируется с нулевыми днями. в дикой природе за последние два месяца. Это та же самая игра в кошки-мышки, которую мы видели с другими компаниями. Найден нулевой день, компания исправляет его, найден новый нулевой день. Вымойте, промойте и повторите.

Oracle, компания, хорошо известная своим нежеланием выпускать исправления вне графика, выпустила несколько аварийных обновлений в прошлом году, потому что ошибки были настолько серьезными. Компания выпустила запланированное обновление 19 февраля, но, вероятно, эта ошибка подстегнет еще один экстренный патч.

Выключите или ограничьте

Вы устали от всей карусели и хотите спрыгнуть? Выключите Java в браузере. Отключить плагин. Мы покажем вам, как отключить Java. Вы один из многих, кому нужна Java для работы и учебы, и вы не можете отключить Java в браузере?

Вот что вы можете сделать. Вы отключаете Java в своем основном браузере по умолчанию. Браузер, который вы используете чаще всего, не должен иметь Java вообще. И затем вы устанавливаете браузер, которым вы пользуетесь не так часто - у большинства людей в любом случае на своих компьютерах установлено более одного браузера - и включаете Java в этом. Здесь важно то, что вы никогда, никогда, абсолютно никогда не используете этот браузер для перехода на любой сайт, кроме той горстки сайтов, на которой вам нужно запустить Java. Вам нужно использовать Blackboard? Вы запускаете Java-браузер. Вам нужно найти что-то, что было упомянуто во время сессии Blackboard? Вместо нажатия скопируйте ссылку, запустите браузер по умолчанию и вставьте его.

Это добавляет много дополнительных шагов, и я могу сказать вам, что это очень раздражает. Но я чувствую себя в большей безопасности, зная, что я уменьшаю свои шансы попасть под атаку водопоя. Подумайте обо всех этих мобильных разработчиках в Facebook, Twitter, Microsoft и Apple. Они посетили веб-сайт разработчика iOS (вероятно, сайт, который они посещали регулярно, учитывая их работу) с браузерами, в которых была включена Java, и были скомпрометированы.

Если вы достаточно раздражены, вы сделаете следующий шаг, который заставит компанию прекратить использовать Java. «У Веб-сайтов больше нет причин использовать Java-апплеты», - сказал мне на этой неделе на конференции RSA Честер Вишневский из Sophos. Вы можете заставить ИТ-отдел начать переход на другой продукт. Как клиенты, вы можете попросить поставщика предложить альтернативу, отличную от Java, или, когда придет время продлить подписку или контракт, вы отмените и перейдете к другому продукту. Деньги говорят.

Вишневский сказал, что он не принял решение рекомендовать слегка отключить Java. Он тщательно обдумал последствия и пришел к выводу, что на данный момент это самое безопасное.

Найден еще один Java-номер нулевого дня, сбросьте плагин для браузера