Video: Week 6 (September 2024)
Forskare har upptäckt ännu en nolldagars sårbarhet i Java, och angripare utnyttjar för närvarande det i naturen.
Säkerhetsfelen leder, om den utlöses, till godtyckligt läs-och-skrivminne i Java Virtual Machine, Darien Kindlund och Yichong Lin, två forskare på FireEye, skrev på FireEye Malware Intelligence Lab-bloggen torsdag. Om den lyckas hämtar attackkoden en McRAT-dropper och informationstjälande trojan till offrets dator. Det är en annan typ av brister än några av de andra vi har sett nyligen.
FireEye sa att flera av sina kunder såg attacken mot webbläsare med Java aktiverat. Säkerhetsfelarna finns i Java v.1.6 Update 41 och den senaste Java v1.7 Update 15, som just släpptes 19 februari, enligt FireEye. Forskarna har redan avslöjat sårbarheten för Oracle (CVE-2013-1493). Ingen annan information är för närvarande tillgänglig från Oracle.
Fler nolldagar
FireEye-forskare sammanfattade väl den rådande känslan i postens titel, ”YAJ0: Ytterligare en Java 0-dag.” Även om Java har varit ett populärt attackmål under lång tid, verkar det finnas ett utnyttjande av Java nolldagar som utnyttjas i naturen under de senaste två månaderna. Det är samma katt-och-mus-spel som vi har sett med andra företag. En nolldag hittas, företaget lappar det, en ny nolldag hittas. Tvätta, skölj och upprepa.
Oracle, företaget som är välkänt för sin motvilja mot att släppa patchar utanför schemat, har släppt flera nöduppdateringar under det senaste året eftersom buggarna har varit så allvarliga. Företaget släppte en schemalagd uppdatering den 19 februari, men det är troligt att detta fel kommer att stimulera ytterligare en nödsituation.
Stäng av det, eller begräns det
Är du trött på hela merry-round och vill ha ett sätt att hoppa av? Stäng av Java i webbläsaren. Inaktivera plugin-programmet. Vi visar dig hur du inaktiverar Java. Är du en av de många, många människor som behöver Java för arbete och skolan och inte kan stänga av Java i webbläsaren?
Här är vad du kan göra. Du inaktiverar Java i din standard, primära webbläsare. Webbläsaren du använder mest borde inte ha Java alls. Och sedan installerar du webbläsaren som du inte använder så ofta - de flesta har i allmänhet mer än en webbläsare installerat på sina datorer - och aktiverar Java i det. Det viktiga här är dock att du aldrig, aldrig, absolut aldrig använder den webbläsaren för att gå till någon annan webbplats än den handfull webbplatser du behöver för att köra Java på. Du måste använda Blackboard? Du startar Java-webbläsaren. Du måste leta upp något som nämndes under Blackboard-sessionen? Istället för att klicka, kopiera länken, starta upp din standardwebbläsare och klistra in den.
Det lägger till många extra steg, och jag kan säga er att det är oerhört irriterande. Men jag känner mig säkrare att veta att jag minskar mina chanser att bli träffade med ett vattenhålangrepp. Tänk på alla dessa mobilutvecklare på Facebook, Twitter, Microsoft och Apple. De besökte en iOS-utvecklarwebbplats (förmodligen en webbplats som de besökt med regelbundet, med tanke på deras jobb) med webbläsare som hade Java aktiverat och komprometterade.
Om du är tillräckligt irriterad gör du nästa steg, vilket är att pressa företaget att sluta använda Java. "Det finns inte längre någon anledning för webbplatser att använda Java-appletar, " sa Chester Wisniewski, från Sophos, på RSA-konferensen i veckan. Du kan trycka på IT för att börja byta till en annan produkt. Som kunder kan du säga leverantören att komma med ett alternativ som inte är Java, eller när det är dags att förnya prenumerationen eller kontraktet kommer du att avbryta och gå till en annan produkt. Pengar pratar.
Wisniewski sa att han inte fattade beslutet att rekommendera att slå av Java lätt. Han övervägde följderna noggrant och kom till slutsatsen att det just nu var det säkraste att göra.
