Microsoft: σε επίπεδα ρεκόρ οι επιθέσεις με χρήση Java exploits, το 80% των υπολογιστών είναι μη ενημερωμένα

[nnn]

Οι επιθέσεις με χρήση vulnerabilities στην Java της Oracle, έχουν φτάσει σε επίπεδα ρεκόρ, σύμφωνα με αναφορά της Microsoft, που δόθηκε στην δημοσιότητα.
Στην αναφορά φαίνεται πως οι μισές επιθέσεις που εντοπίστηκαν και μπλοκαρίστηκαν από το λογισμικό ασφάλείας της Microsoft(MSE) τους προηγούμενους 12 μήνες αφορούν Java exploits, με τον αριθμό τους να φτάνουν τα 27 εκατομμύρια σε αυτήν την χρονική περίοδο.

Το σημαντικό είναι πως η πλειοψηφία των επιθέσεων εκμεταλευόταν κενά ασφαλείας τα οποία είχαν ήδη εντοπιστεί και υπήρχαν διορθωμένες αναβαθμίσεις που τα αντιμετώπιζαν.
Όπως τονίζουν οι ερευνητές ασφαλείας, τα μηχανήματα με Windows απλά δεν είναι αναβαθμισμένα στην τελευταία Java έκδοση, γιατί ενώ αυτή υπάρχει σχεδόν σε όλους τους υπολογιστές, οι χρήστες δεν έχουν αλληλεπίδραση μαζί της και αγνοούν ή αδιαφορούν για την αναβάθμιση της.

Πηγή : Infoworld

[dhatz]

Αυτό που παραλείπει να αναφέρει η ανακοίνωση είναι πως η αναβάθμιση της Java (JRE) ΔΕΝ ΑΠΕΓΚΑΘΙΣΤΑ ΤΗΝ ΠΑΛΑΙΟΤΕΡΗ ΕΚΔΟΣΗ απο τον υπολογιστή (τουλάχιστον μέχρι πρόσφατα), με αποτέλεσμα να είναι ενεργές όλες οι εκδόσεις !

[Φευ...Γάτος]

Εδώ και καιρό δεν υπάρχει καν αυτό το πράμα στον υπολογιστή μου. Αν αραιά και που πέσω κατά τύχη σε ιστοσελίδα που χρησιμοποιεί Java Plugin, απλά την προσπερνώ. Πουθενά δεν είπα: «έπρεπε να το είχα τώρα εγκατεστημένο».

Συνήθως κάποιες σελίδες οι οποίες σου ζητούν την χρήση ώστε να εξακριβωθεί τι μηχάνημα, τι εκδόσεις λογισμικού κ.λπ. έχεις για να σου δώσουν τους κατάλληλους οδηγούς, επί παραδείγματι ( Intel ), δεν μου είναι πρόβλημα διότι γνωρίζω τι έχω/χρειάζομαι. Από 'κει και πέρα, δεν μου έχει τύχει πουθενά αλλού.

[mzaf]

Γι'αυτό είναι απαραίτητο το secunia σε κάθε υπολογιστή με windows.Μοναδικό του μειονέκτημα,οτι σκανάρει μόνο μια φορά την εβδομάδα.
http://secunia.com/vulnerability_sca.../download_psi/

[Simpleton]

Αυτό που παραλείπει να αναφέρει η ανακοίνωση είναι πως η αναβάθμιση της Java (JRE) ΔΕΝ ΑΠΕΓΚΑΘΙΣΤΑ ΤΗΝ ΠΑΛΑΙΟΤΕΡΗ ΕΚΔΟΣΗ απο τον υπολογιστή (τουλάχιστον μέχρι πρόσφατα), με αποτέλεσμα να είναι ενεργές όλες οι εκδόσεις !

Ένα πρόγραμμα Java μπορεί να ζητήσει να εκτελεστεί από συγκεκριμένη έκδοση του JRE;

[opener]

Οποιος θελει ας ριξει μια ματια και εδω =

....The exploit attacks a vulnerability that exists in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier. If you are using Java 6 Update 29, or Java 7 Update 1, then you have the latest version that is patched against this and 19 other security threats. If you are using a vulnerable version of Java, it’s time to update. Not sure whether you have Java or what version you may be running? Check out this link, and then click the “Do I have Java?” link below the big red “Free Java Download” button.
....
Java exploits are notoriously successful when bundled into commercial exploit packs, software kits that can turn a hacked Web site into a virtual minefield for Web users who aren’t keeping up to date with the latest security patches. Users would need only to browse to a booby-trapped site with a version of Mozilla Firefox or Internet Explorer that is running anything older than the latest Java package, and the site could silently install malware (according to a miscreant selling access to the exploit, it does not run reliably against Google Chrome for some reason).
...
I stand by my advice urging those who don’t need Java to junk it; most people who have it won’t miss it. For those who need Java for the occasional site or service, disconnecting it from the browser plugins and temporarily reconnecting when needed is one way to minimize issues with this powerful program. Leaving the Java plugin installed in a secondary browser that is only used for sites or services that require Java is another alternative.
http://krebsonsecurity.com/2011/11/n...-exploit-kits/

--------------->

Don’t Need Java? Junk It.

....
Not only do most users have some version of Java on their systems, most Windows users likely have multiple copies of this program on their PCs, because older installers failed to remove previous, insecure versions of the software.
...
...https://krebsonsecurity.com/2010/06/...-java-junk-it/

........Auto merged post: opener πρόσθεσε 6 λεπτά και 45 δευτερόλεπτα αργότερα ........

Ένα πρόγραμμα Java μπορεί να ζητήσει να εκτελεστεί από συγκεκριμένη έκδοση του JRE;

Δες την τελευταια παραγραφο =

Why should I remove older versions of Java from my system?

The latest version of Java is always the recommended version as it contains updates and improvements to previous versions. You can confirm that you have the latest version by visiting the Java Verification page.
Over time, you may have installed multiple versions of Java to run available Java content. In the past, each Java update was installed in separate directories on your system. However, Java updates are now installed in a single directory.


Should I remove older versions of Java?
We highly recommend users remove all older versions of Java from your system.
Keeping old and unsupported versions of Java on your system presents a serious security risk.
Removing older versions of Java from your system ensures that Java applications will run with the most up-to-date security and performance improvements on your system.


How can I remove older versions of Java?
You can safely remove older versions of Java from your system by following the instructions on Java uninstallation instructions for Windows page.


Do I need older versions of Java?
The latest available version is always compatible with the older versions. However, some Java applications (or applets) can indicate that they are dependent on a particular version, and may not run if you do not have that version installed. If an application or web page you access requires an older version of Java, you should report this to the provider/developer and request that they update the application to be compatible with all Java versions.

http://www.java.com/en/download/faq/...erversions.xml

........Auto merged post: opener πρόσθεσε 17 λεπτά και 55 δευτερόλεπτα αργότερα ........

Γι'αυτό είναι απαραίτητο το secunia σε κάθε υπολογιστή με windows.Μοναδικό του μειονέκτημα,οτι σκανάρει μόνο μια φορά την εβδομάδα.
http://secunia.com/vulnerability_sca.../download_psi/

Το Secunia PSI or OSI, ελεγχει πολλες εφαρμογες.
Επισης αντι εγκαταστασης του Personal Software Inspector (PSI), μπορει να γινει ελεγχος και με το Secunia Online Software Inspector (OSI)*
http://secunia.com/vulnerability_scanning/online/

What is the difference between the Secunia PSI and the *Online Software Inspector (the 'OSI')?

The *Secunia Software Inspector identifies a few dozen of the most common applications, while the Secunia PSI can identify thousands. In addition, the OSI is run using the web browser, while the Secunia PSI is downloaded and installed.
http://secunia.com/vulnerability_scanning/personal/faq/

Για τα plugins, πιστευω πως ειναι (υπερ)αρκετο αυτο εδω =

Check Your Plugins
http://www.mozilla.org/en-US/plugincheck/

[FuS]

Γνωρίζω πολλούς που ενώ ξερούν ότι πρέπει να αναβαθμίζεται (χωρίς να γνωρίζουν απαραίτητα τι είναι η java) έχουν αφήσει την ίδια java που είχε pre-installed το laptop που είχαν αγοράσει.
Τους το λέω συνέχεια (όχι μόνο για java αλλά και τα windows updates και το flash player κλπ) και η απάντηση είναι "έλα μωρέ.."
Τι να πεις..

[aiolos.01]

Και να σκεφτείς οτι το default installation βάζει και το java update scheduler που σε πρήζει να αναβαθμίσεις.

[euri]

Και να σκεφτείς οτι το default installation βάζει και το java update scheduler που σε πρήζει να αναβαθμίσεις.

Οι οποίες αναβαθμίσεις στα Windows 7 δε γίνονται αν ο τρέχον χρήστης δεν έχει admin rights...

Και πρήξιμο και δε γίνεται η αναβάθμιση...

[opener]

Εδώ και καιρό δεν υπάρχει καν αυτό το πράμα στον υπολογιστή μου. Αν αραιά και που πέσω κατά τύχη σε ιστοσελίδα που χρησιμοποιεί Java Plugin, απλά την προσπερνώ. Πουθενά δεν είπα: «έπρεπε να το είχα τώρα εγκατεστημένο».

Συνήθως κάποιες σελίδες οι οποίες σου ζητούν την χρήση ώστε να εξακριβωθεί τι μηχάνημα, τι εκδόσεις λογισμικού κ.λπ. έχεις για να σου δώσουν τους κατάλληλους οδηγούς, επί παραδείγματι ( Intel ), δεν μου είναι πρόβλημα διότι γνωρίζω τι έχω/χρειάζομαι. Από 'κει και πέρα, δεν μου έχει τύχει πουθενά αλλού.

Μαζι σου.

Ελα ομως που ειναι προαπαιτουμενο (Java Certificates) σε ορισμενες online τραπεζικες συναλλαγες,
πχ στο Live-Banking της Eurobank.

[rookie_t]

Αυτό που παραλείπει να αναφέρει η ανακοίνωση είναι πως η αναβάθμιση της Java (JRE) ΔΕΝ ΑΠΕΓΚΑΘΙΣΤΑ ΤΗΝ ΠΑΛΑΙΟΤΕΡΗ ΕΚΔΟΣΗ απο τον υπολογιστή (τουλάχιστον μέχρι πρόσφατα), με αποτέλεσμα να είναι ενεργές όλες οι εκδόσεις !

Δεν ισχύει κάτι τέτοιο πλέον. Παλαιότερα η κάθε έκδοση είχε τον δικό της κατάλογο εγκατάστασης. Δεν υπάρχει κάτι τέτοιο πλέον. Ούτε στην προσθαφαίρεση προγραμμάτων υπάρχουν διαφορετικές εκδόσεις του JRE.

[CHRISWOOL]

Πρεπει να εχουμε παντα εγκατεστημενη την τελευτεα εκδοση των java?? Οταν μου λεει οτι υπαρχει καινουρια εκδοση παταω οχι

[nnn]

Κακώς, αναβάθμισε άμεσα.

[yyy]

Νομίζω ότι είναι καλό, μια στα τόσα να κάνει κάποιος απεγκατάσταση της java και χειροκίνητα εγκατάσταση της τελευταίας έκδοσης. Γιατί καμιά φορά, update στο update, μπορεί να δημιουργηθεί κάποιο πρόβλημα. Μου συνέβει μια φορά στο e-banking της eurobank

[mpetou]

Καλα τι αλλο θα ελεγε η ms ...
Ολα για το χρημα βλεπει την δυναμη της java και τρεμει ...
Αφου δεν την πηρε στα δικαστηρια βγαζει τωρα ανακοινωσεις μπουρδες και σαλια..
Ε πως να το κανουμε το .net ειναι χειροτερη πλατφορμα.

Σαφως και πρεπει να αναβαθμισουνε ολοι σε java 7 λογω βελτιωσεων αλλα αυτα περι exploits δεν στεκουνε...
ειναι αλλου γι αλλου η java τρεχει με δικαιωματα χρηστη οι κωδικες και να θελουνε να ειναι υπουλοι
δεν μπορουνε λογω του api της java και των δικαιωματων που τρεχει.

Μηπως ομως το ποστ λεει κατι αλλο δηλαδη οτι σε java γραφοντε exploits που εχουνε στο στοχο τα windows ?
Αυτο ναι γιατι η java ειναι καλη γλωσσα αλλα αυτο δεν εχει να κανει με καποιο προβλημα της java αλλα με
προβληματα των windows... οπως επισης exploits γραφονται και σε c/c++ και σε perl και σε python