Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Niespotykana liczba ataków na Javę

Zdaniem Microsoftu w ostatnim roku bezprecedensowo wzrosła liczba ataków na komputery za pośrednictwem luk w Javie.

Raport opublikowany przez Microsoft Malware Protection Center przynosi dość niepokojące informacje. Liczba exploitów wykorzystujących luki w kodzie Javy ogromnie wzrosła w ostatnim kwartale. O ile w poprzednich okresach notowano ich setki tysięcy, teraz mowa jest o milionach. Zdaniem Microsoftu liczba ataków na Javę przerosła nawet te dokonywane na produkty firmy Adobe. Tylko za pomocą jednej luki wykrytej dwa lata temu dokonano ponad 3,5 mln ataków na prawie 2 mln komputerów z systemami Windows, Linux i Mac OS X.

Powodem takiego stanu rzeczy jest powszechny dostęp do Javy, a także mała świadomość wśród użytkowników o potrzebie jej aktualizacji. Dlatego też raport Microsoftu zatytułowano: "Czy sprawdziłeś już Javę?". Kolejnym powodem mogą być stosunkowo rzadkie aktualizacje Javy dokonywane przez firmę Oracle. Warto też zwrócić uwagę, że w ostatnich latach coraz więcej ataków skierowanych jest nie na systemy operacyjne, ale poszczególne programy czy narzędzia, z których korzystają internauci. Adobe, którego czytniki plików PDF są jednymi z najczęściej atakowanych programów, już zapowiedział prace nad zwiększeniem bezpieczeństwa swoich produktów. Jego śladem powinny udać się kolejne firmy.

© dobreprogramy

Komentarze

jarek_wt  19.10.2010 12:14 #1

Ciekawe czy ktoś już próbował ataku poprzez silverlight'a ??

Anonim (niezalogowany) 19.10.2010 12:19 #2

Chyba wszystko zmierza w tym kierunku http://www.dobreprogramy.pl/QubesOS-superbezpieczny-system-z-polskim-rodowodem,A... dodatkowo proszę bardzo http://www.dobreprogramy.pl/Miguel-de-Icaza-ludzie-boja-sie-instalowania-program... czy jednak MS to widzi ? ;) hmmmm... pod rządami Ballmera to nawet telefonów nie widzą, nie wspominając o innych (tfu) iPad'ach ;) Kwitnie natomiast samozachwyt z tytułu świetnej sprzedaży nowego OS'a :) Trzeba być chyba i głupim i ślepym, aby nie widzieć tendencji rynkowych.

Pazuzu  19.10.2010 12:20 #3

Ze świadomością użytkowników jest niestety naprawdę źle. Ile razy to widziałem u znajomych wersje javy, adobe readera, flasha sprzed wręcz kilku lat. Mało kto widzi potrzebę aktualizowania tych programów (mimo, że mają one aktualizatory, pozwalające je automatycznie aktualizować). Nie mówiąc już o tym, że niedawno jeszcze jak zerknąłem na kompa znajomych to mieli antywirusa nieaktualizowanego od dnia 19 marca 2009. Oczywiście po instalacji i aktualizacji innego antywirusa w tym komputerze maaaaasę cyberpaskudztwa wykryto.

Johny Mnemonic (niezalogowany) 19.10.2010 12:25 #4

Łukasz,wszystko co ma połączenie z siecią jest zagrożone,dlatego przeglądarki i Java muszą być nonstop aktualizowane,nie wspominając o lukach w IE i Windows,ta kultura nie upada,np. Serwer Apache jest podobno na 50% komputerów sieciowych,serwerów sprzętowych,Open Source nie musi oznaczać wcale free,projekt Open może być równie dobrze płatny,przykład,płatny Red Hat,czy SUSE Linux

fffatman  19.10.2010 12:31 #5

Jak to miło, że się MS martwi.

master_zonk6  19.10.2010 12:41 #6

Dlatego wyłączyłem Java Quick Starter, Java Update i mam w Operze aktywną opcje Enable plugin on demand (aktywuj wtyczkę na żądanie). Javę aktualizuję ręcznie.

iluzion  19.10.2010 12:44 #7

Aktualizuję programy na bieżąco, Javę również, ale aktualizacje nie gwarantują bezpieczeństwa, jeśli oprogramowanie będzie nadal podatne na ataki...

http://img840.imageshack.us/img840/7254/expjava.png

MaRa  19.10.2010 12:44 #8

@ŁukaszMS (niezalogowany) - przecież Java nie jest opensource. A jest darmowa, tak samo jak Flash Player, Adobe Reader, Internet Explorer, Media Player i wszystkie przeglądarki.

Nie bardzo wiem, jak można wykorzystać lukę w Javie do ataku na linuksa.

iluzion  19.10.2010 12:47 #9

@fffatman

Dobrze, że MS się martwi, bo później niektórzy mają pretensje, że Windows jest podatny na różnego rodzaju szkodniki, a w większości problemy te dotyczą luk w oprogramowaniu.

Udar  19.10.2010 12:51 #10

Jest w ty dużo racji. Mimo, że Javę oraz pozostałe aplikacje aktualizowałem na bieżąco na początku września mój komputer został zainfekowany właśnie przez Javę. Dodam, że nie miałem żadnej infekcji od ponad 2 lat.

Wirrus  19.10.2010 13:03 #11

hmm mam Linuksa ale javę mam usuniętą :) nie mam Javę więc mogę spać spokojnie :D

/home/webnull (niezalogowany) 19.10.2010 13:10 #12

Założę się, że najmniej ataków powiodło się na maszyny z Linuksem.

Dlaczego?
- Bo automatyczna aktualizacja systemu z repozytoriów zaaktualizuje również Javę :)

master_zonk6  19.10.2010 13:16 #13

@ŁukaszMS
również za chińskie pakiety internetowe płacę Juanami. Co do systemu. Mam ci wysłać swój certyfikat? Może nie wiesz, jak takie coś wygląda? Podpowiem. Małe, zielone, drapie, mruczy...

rashek7  19.10.2010 13:19 #14

W Windows brak spójnego sposobu aktualizacji oprogramowania. Każdy program lub sterownik odpala swojego demona aktualizacji najczęściej przy starcie przez co dodatkowo spowalnia pracę komputera. Java, flash, sterowniki do drukarki itp. itd. W innych systemach jest to lepiej rozwiązane. Aktualizacje poszczególnych programów robią się automatycznie razem z aktualizacją składników systemu operacyjnego.

trux  19.10.2010 13:26 #15

master_zonk6 @
Daj spokój, ten koleś to troll. Na dodatek stara się dowartościować dodając do nicka MS. Żal mi takich ludzi...

KONTO USUNIĘTE (niezalogowany) 19.10.2010 14:20 #16

Redakcja perfidnie wywaliła mój komentarz.
Czy nie lepiej wprowadzić nowum w postaci, że komentarz może dodać tylko zalogowana osoba?? Głupkowate trolle zostałyby wyeliminowane.

Narv  19.10.2010 14:27 #17

Jest jeszcze jedna przyczyna, która znacznie zniechęca użytkowników do aktualizacji Javy, a która szkoda że nie pojawiła się w newsie. Jeżeli ktoś się jeszcze nie domyślił, to mam na myśli strasznie zacofany i toporny mechanizm automatycznej jak i ręcznej aktualizacji. Działanie automatycznej aktualizacji ogranicza się tylko do sprawdzenia i pobrania lub poinformowania o nowej wersji Javy. Następnie uruchomiony nowy instalator instaluje nową wersję w tak magiczny sposób, że w 'Dodaj/usuń programy' mamy możliwość odinstalowania kilku wersji tego cudownego środowiska. Sprawdzałem u siebie, każda z wersji zainstalowana zostaje w osobnym katalogu, a co za tym idzie każda z wersji zajmuje osobną przestrzeń dyskową (duble plików). Tak idiotycznego i zaśmiecającego instalatora nie widziałem jeszcze w żadnym oprogramowaniu. Nawet za czasów Windows 95 nowe wersje instalatorów potrafiły nadpisać pliki starszych wersji.

mus (niezalogowany) 19.10.2010 14:44 #18

Rozczulające, jak MS troszczy sie o Javę i jej użytkowników

Koneton (niezalogowany) 19.10.2010 15:00 #19

#19 Bardzo dobrze, że zostawia starsze wersje. Nie każde oprogramowanie Java będzie działało na najnowszej. Zapominasz, że Java to nie tylko aplety na stronie WWW, ale też bardzo dużo aplikacji desktopowych. Dlatego bardzo dobrze, że zostają starsze wersje, a przeglądarki używają najnowszej. Analogiczna sytuacja jest w przypadku .NET Framework. Też możesz mieć ich sporo w systemie, chociaż Silverlight będzie używał najnowszej.

~slepiec (niezalogowany) 19.10.2010 15:14 #20

ja nie wiem jak wam, ale java mi się zawsze sama uaktualnia i nic nowego nie tworzy.

peter. (niezalogowany) 19.10.2010 15:37 #21

Buhaha, M$ robi "obiektywne" raporty na temat Javy :)

Widocznie .NET już ledwo zipi. Przecież NIKT normalny nie buduje serwisów web czy servletów na C#. Nikt normalny nie tworzy rozwiązań Enterprise z użyciem .NET.

.NET nadaje się co najwyżej w spółce z XNA do gier 2D dla dzieci.

przemor25  19.10.2010 16:23 #22

@Pazuzu

To i tak dobrze. U co po niektórych to nie uświadczysz żadnego antywira.

ŁukaszMS (niezalogowany) 19.10.2010 16:26 #23

@"trux"
Tak się składa że mnie obrażasz i jak wszystkie statystyki wykazują na forach to że trolle, są użytkownicy lina jak TY i bzdury pieszecie o wszystkim a szczególnie mity o MS.

Aby się zabezpieczyć to należy aktualizować wszystko kazdego dnia z auto lub manual po otwieraniu programu i koniecznie aktualny Norton 2011 co 20min. aktualizowane bazy danych o zagrożeniach aby system był chroniony jak program ma luki i wady... W Norton Security nowym jest panel ochrony aplikacji pod nazwąOchrona luk i tam już natychmiast pojawia się aplikacja zanim producent lub MS zrobi łatę ale Ty i koledzy z linami i piratami nie masz o tym pojecia i nawet nie wiesz jak to działa. :)

trux  19.10.2010 17:46 #24

ŁukaszMS@
Postaraj się bardziej, bo takie zaczepki i zniewagi na mnie nie działają. Lubię podyskutować, ale z ludźmi mającymi coś sensownego do powiedzenia. W Twoim przypadku jest to awykonalne.
Twój pierwszy komentarz został usunięty, nie bez przyczyny.
Serdecznie pozdrawiam ;)

tomimaki  19.10.2010 18:19 #25

Na moim komputerze kiedyś Java wykryła aktualizację, dopiero jak wyszła o dwa numery większa. Dlatego teraz update Javy mam wyłączony z autostartu. Bo i po co? Sam szybciej tą Javę zaktualizuję.

ra-v  19.10.2010 18:37 #26

Oracle = ich baza, MySQL, VirtualBox, OpenOffice (pewnie już LibreOffice), Java, Netbeans.... baza Oracle i MySQL się trzyma, VB i OO jest coraz gorsze (czasem sypie się, zwiesza), z Javą nie miałem jako takich problemów poza wykorzystaniem w przeglądarkach. Ciekawe które z ww. projektów udupią...

Myślałem że jak taka firma przejmie coś to to utrzyma, ale jak na razie jakby się znaleźć nie może czy coś

Pablo79  19.10.2010 18:48 #27

ŁukaszMS to już na PC Wordzie widać wszyscy uodpornili się na twoje bzdury, więc daruj sobie i tutaj.

Bartman (niezalogowany) 19.10.2010 19:12 #28

niejaki MaRa" "przecież Java nie jest opensource. "

Oczywiście, że Java JEST opensource.
Na stronie Oracle są źródła do ściągnięcia.

maki_elk3  19.10.2010 19:14 #29

Narv:
Co do różnych wersji java jdk:
Otóż takie rzeczy są normalne w świecie programistycznym. Jestem na 100% pewny, że na komputerze masz wersję .NET 1.0, .NET 2.0 i przy dobrych wiatrach nowsze wersje środowiska .net. Taki stan rzeczy jest spowodowany, żeby twoje oprogramowanie było kompatybilne wstecz. Zaktualizowanie frameworku do nowszej wersji mogłoby rozwalić istniejący program korzystający ze starej wersji javy jdk czy .netu. Co do stanu .NET to uważam, że w tym okresie radzi sobie o wiele lepiej niż Java(niestety ...). Niedawno przecież przełożono wydanie javy 7 o spory kawałek a w świecie .net już wyszła wersja 4.
Peter:
Co do java ee to faktyczniej podobno jest lepiej skalowalna, niemniej jednak napisanie aplikacji web w .net jest o wiele prostsze (masz asp.net mssql i IIS, a w javie jest mnóstwo frameworków, serwerów web i silników baz danych).
Odnośnie artykułu to faktycznie dziwne, że Microsoft publikuje raport o Java i czy te dane są rzetelne.

A co do wirusów na Javę to się głęboko zastanawiam ponieważ java uruchamia swoją wirtualną maszynę w procesie java.exe i chyba nie łatwo napisać exploita, który zmodyfikuje system Windows przez tenże proces? Chyba, że się zna Java Native Interface ??

maki_elk3  19.10.2010 19:24 #30

Po googlowaniu znalazłem jedynie exploita, który wykorzystywał lukę w JNLP(Java 6 Update 10) przy pobieraniu pliku jar z internetu. Problem został rozwiązany w Java 6 Update 20.
http://tech.wp.pl/kat,1009539,title,Exploit-w-Javie-uruchamia-lokalne-programy-W...

http://forums.sun.com/thread.jspa?threadID=5435574

BenderBendingRodriguez  19.10.2010 20:25 #31

Jaki kochany M$, martwi się o produkty konkurencji, może zaczną też pisać łatki? A nie, czekaj, M$ ma "konkurencyjną" platformę .NET która rozumiem że naturalnie jest bezpieczniejsza ? Ależ naturalnie, nasze produkty nie mają dziur i są budowane z myślą o bezpieczeństwie, a te ponad 400 dziur razem w naszych produktach to czepianie się, miliardy ataków na nasze produkty to też czepianie się... Java jest niebezpieczna, Java jest niebezpieczna, Java jest niebezpieczna (coś powtórzone trzykrotnie głębiej zapada w pamięć :)

trux  20.10.2010 02:31 #32

Przeczytałem powyższy raport, za wiele szczegółów to tam nie ma.
Microsoft wrzucił do jednego wora Maca, GNU/Linuksa i MS Windows.
To wszystko jest bardzo naciągane.

T72  20.10.2010 14:34 #33

@peter. (niezalogowany) ...nie masz racji :)