Java — главная цель атак


«Лаборатория Касперского» только что опубликовала свой анализ угроз безопасности в третьем квартале 2012 года, и первое место в списке занимает Java. Это не обнадеживает, учитывая недавние негативные отзывы о языковой системе.

Похоже, что в последние несколько месяцев произошла негативная реакция на Java. Например, не довольствуясь простым отключением Flash, Apple теперь удалила Java из своего оборудования. Вдобавок многие пользователи ПК были напуганы тем, что полностью удалили Java, а не просто отключили ее использование в браузере.

Было ли все это оправданным или это своего рода заговор против Oracle через Java?

Согласно последним данным «Лаборатории Касперского», похоже, что опасения имеют под собой реальные основания. Похоже, что Java участвовала в 56% атак. Единственное, что даже близко, это Adobe Acrobat с 25%.

Касперский отмечает, что кроссплатформенность Java делает ее привлекательной как для авторов вредоносных программ, так и для разработчиков приложений. Он также указывает на то, что отсутствие принудительного механизма обновления Java означает, что уязвимости, как правило, остаются активными дольше. С учетом примерно 1,1 миллиарда установок Java это кажется слишком разумным.

В последнее время кажется, что песочница, предоставляемая виртуальной машиной Hotspot, была скомпрометирована, и этот эксплойт появляется не только в целевых атаках, но и в пакетах эксплойтов, позволяя другим использовать те же точки входа с небольшими усилиями.

Если Oracle хочет остановить эту волну плохой рекламы, ей необходимо пересмотреть скорость, с которой она генерирует исправления, и то, как она выпускает обновления для JRE.

Также интересно отметить, что на Windows и IE приходится всего 4% уязвимостей, что, возможно, связано с принудительными обновлениями, введенными в последние несколько лет. Adobe Flash подорожал незначительные 3%. Может быть, авторы вредоносных программ тоже отказались от этого? На корневые атаки Android также приходилось всего 2%.

Остальную часть отчета тоже стоит прочитать.


Добавить комментарий