Video: CS50 Lecture by Steve Ballmer (November 2024)
Onderzoekers hebben nog een zero-day kwetsbaarheid op Java ontdekt en aanvallers maken er momenteel misbruik van.
De beveiligingsfout leidt, indien geactiveerd, tot willekeurig geheugen lezen en schrijven in de Java Virtual Machine, Darien Kindlund en Yichong Lin, twee onderzoekers van FireEye, schreven donderdag op de FireEye Malware Intelligence Lab blog. Als dit lukt, downloadt de aanvalscode een McRAT-dropper en informatie-stelende Trojan op de computer van het slachtoffer. Het is een ander type fout dan sommige van de anderen die we recent hebben gezien.
FireEye zei dat verschillende van zijn klanten de aanval op browsers zagen met Java ingeschakeld. De beveiligingsfouten zijn te vinden in Java v.1.6 Update 41 en de nieuwste Java v1.7 Update 15, die zojuist 19 februari is vrijgegeven, volgens FireEye. De onderzoekers hebben de kwetsbaarheid voor Oracle al bekendgemaakt (CVE-2013-1493). Er is momenteel geen andere informatie beschikbaar bij Oracle.
Meer nuldagen
FireEye-onderzoekers vatten het heersende sentiment goed samen in de titel van de post, "YAJ0: Yet Another Java 0-Day." Hoewel Java lange tijd een populair aanvalsdoelwit was, lijkt er een uitbuiting te zijn van het gebruik van Java-nuldagen. in het wild de afgelopen twee maanden. Het is hetzelfde kat-en-muisspel dat we met andere bedrijven hebben gezien. Er is een nuldag gevonden, het bedrijf patcht deze, een nieuwe nuldag wordt gevonden. Wassen, spoelen en herhalen.
Oracle, het bedrijf dat bekend staat om zijn terughoudendheid om patches buiten het schema uit te brengen, heeft het afgelopen jaar verschillende noodupdates uitgegeven omdat de bugs zo ernstig zijn geweest. Het bedrijf heeft op 19 februari een geplande update uitgebracht, maar het is waarschijnlijk dat deze bug weer een nieuwe noodpatch zal veroorzaken.
Schakel het uit of beperk het
Ben je de hele draaimolen beu en wil je een manier om eraf te springen? Schakel Java uit in de browser. Schakel de plug-in uit. We laten u zien hoe u Java kunt uitschakelen. Ben je een van de vele, vele mensen die Java nodig hebben voor werk en school en die Java niet kunnen uitschakelen in de browser?
Hier is wat je kunt doen. U schakelt Java uit in uw standaard primaire browser. De browser die u het meest gebruikt, zou helemaal geen Java moeten hebben. En dan installeer je de browser die je niet zo vaak gebruikt - de meeste mensen hebben in het algemeen toch meer dan één browser op hun computer geïnstalleerd - en schakel Java daarin in. Het belangrijkste hier is echter dat u die browser nooit, nooit, absoluut nooit gebruikt om naar een andere site te gaan dan naar een handvol sites waarop u Java moet draaien. Moet je Blackboard gebruiken? Je start de Java-browser. Moet je iets opzoeken dat tijdens de Blackboard-sessie werd genoemd? In plaats van te klikken, kopieert u de link, start u uw standaardbrowser en plakt u deze in.
Het voegt veel extra stappen toe en ik kan je vertellen dat het enorm vervelend is. Maar ik voel me veiliger wetende dat ik mijn kansen verklein om geraakt te worden door een aanval met een gieter. Denk aan al die mobiele ontwikkelaars op Facebook, Twitter, Microsoft en Apple. Ze bezochten een iOS-ontwikkelaarswebsite (waarschijnlijk een site die ze regelmatig bezochten, gezien hun taken) met browsers die Java hadden ingeschakeld en die gecompromitteerd waren.
Als je geïrriteerd genoeg bent, doe je de volgende stap, namelijk het bedrijf onder druk zetten om te stoppen met het gebruik van Java. "Er is geen reden meer voor websites om Java-applets te gebruiken, " vertelde Chester Wisniewski van Sophos me deze week op de RSA-conferentie. U kunt IT onder druk zetten om over te schakelen naar een ander product. Als klant kunt u de leverancier vertellen om een niet-Java-alternatief te bedenken, of wanneer het tijd is om het abonnement of contract te verlengen, annuleert u en gaat u naar een ander product. Geld praat.
Wisniewski zei dat hij niet de beslissing had genomen om aan te bevelen Java licht uit te schakelen. Hij overwoog de gevolgen zorgvuldig en kwam tot de conclusie dat het op dit moment het veiligste was om te doen.
