Почему Java теперь представляет меньшую угрозу безопасности в Windows, Mac и Linux

Реклама

Java, которая когда-то была жизненно важным компонентом сети, за последние несколько лет приобрела популярность. Большинство современных браузеров по умолчанию блокируют Java, и большинству домашних пользователей больше не нужно его устанавливать.

Мы давно слышали, что Java является единственным наиболее небезопасным программным обеспечением для настольных компьютеров, особенно для Windows. Но так ли это до сих пор? Давайте копаться и узнавать.

Исторические проблемы с Java

Основная причина того, что Java стала такой популярной целью для атак, заключается в том, насколько широко она распространена. Поскольку Java была разработана для максимальной совместимости, она работает на множестве устройств. В дополнение к компьютерам Java поддерживает проигрыватели Blu-ray, принтеры, системы оплаты парковки, лотерейные устройства и многое другое. Это противоположность безопасность через неизвестность: главная платформа обеспечивает лучшую отдачу от атаки.

Конечно, мы имеем дело с Java на рабочем столе. И самое страшное в том, что Java не обновляется автоматически. В отличие от большинства других современных программ, Java просто просит пользователя установить обновления при их наличии. Что еще хуже, по умолчанию Java проверяет наличие обновлений только раз в неделю или даже раз в месяц. Это опасно для приложения с таким количеством уязвимостей.

Многие люди видят запрос на обновление и игнорируют его, в результате чего они запускают устаревшую версию Java. А поскольку новые версии предлагаются регулярно, даже те, кто устанавливает некоторые обновления, могут разочароваться и игнорировать дальнейшие. В некоторых случаях, даже когда пользователи устанавливают новую версию, они также оставляют установленную старую копию Java. Это расширяет их уязвимость для атаки.

Конечно, мы не можем забыть давнюю сагу Java о включении ужасная панель инструментов Ask. Каждый раз, когда вы устанавливали или обновляли Java, вам приходилось не снимать флажок, или он включал бы этот кусок мусора. Хотя это и не было подвигом, это оставило неприятный вкус в устах пользователей.

Яве исполняется 22 года

Мы должны отправить Oracle торт с панелью Ask.

- Тим Барретт (@timbarrett) 24 января 2018 г.

Современная Ява

Так вот, что было не так с Java в прошлом, но как насчет недавнего?

В октябре 2017 года Veracode обнаружил [Больше не доступно], что 88 процентов Java-приложений содержат как минимум один уязвимый компонент. В начале 2016 года Oracle объявила, что даже установщик Java был уязвим. Если злоумышленник поместит файл DLL с определенным именем в папку «Загрузки», он вызовет заражение при запуске установщика Java. И вообще, из-за популярности Java, вам нужно будет только посетить взломанный сайт тот воспользовался вашей устаревшей копией Java для заражения.

Хотя это означает, что Java далеко не безопасна, есть и хорошие новости. В начале 2016 года Oracle объявил что он планирует отказаться от плагина Java-браузера (который является источником большинства проблем) в JDK 9, который доступен сейчас. Современные браузеры также оставили Java. В Chrome пропала поддержка Java в конце 2015 года и Firefox перестал поддерживать его в начале 2017 года. Браузер Microsoft Edge, включенный в Windows 10, вообще не поддерживает Java.

Это означает, что если вам действительно нужно использовать Java в браузере, вам придется придерживаться Internet Explorer.

Самые большие уязвимости

Поскольку популярность Java снижается, что заняло свое место в качестве наиболее небезопасного настольного программного обеспечения?

Последние данные FlexeraНачиная с первого квартала 2017 года, 7,8% программ на среднем ПК достигли конца своей жизни. Он входит в десятку самых уязвимых программ на основе доли рынка, умноженной на процент пользователей, которые не были исправлены:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle для ПК 1.x
8. Adobe Acrobat Reader DC 15.x
9. Utorrent 3.x
10. iCloud для Windows 6.x

Этот список может вас удивить. Хотя Java не самая рискованная программа, она все же вторая. Другие программы, которые мы обычно не связываем с рисками безопасности, такие как VLC и Malwarebytes, тоже имеют место. Это свидетельствует о важности обновления всего программного обеспечения, а не только популярных.

Мы можем увидеть больше, изучив Отчет по безопасности Avast за 3 квартал 2017 года. В нем перечислены 10 самых устаревших программ на компьютерах пользователей:

1. Java 6, 7 и 8
2. Adobe Air
3. Adobe Shockwave
4. VLC Media Player
5. Itunes
6. Fire Fox
7. 7-Zip
8. WinRAR
9. QuickTime
10. Adobe Flash Player

Когда вы включаете более старые версии, кажется, что Java по-прежнему возглавляет наименее обновленное программное обеспечение. Плагины Adobe также являются крупными виновниками, и мы видим, что iTunes и VLC также составили этот список.

Наоборот, в соответствии с TechRadarChrome выходит на первое место по обновленным приложениям. При опросе 88% пользователей, использующих Chrome, установили последнюю версию. Это показывает, как бесшумные автоматические обновления имеют огромное значение по сравнению с ноющими запросами на обновление, используемыми средами исполнения Java и Adobe.

Не забывайте обновления ОС слишком

Запомните еще один важный компонент обновления - обновления ОС. Помните, что пользователи, у которых установлены автоматические обновления, были избавлены от страшная атака вымогателей в середине 2017 года Глобальная атака вымогателей и как защитить ваши данныеМассовая кибератака поразила компьютеры по всему миру. Вы были затронуты очень вирулентным самовоспроизводящимся вымогателем? Если нет, то как вы можете защитить свои данные без уплаты выкупа? Прочитайте больше . Даже если вы постоянно обновляете программное обеспечение, такое как Java, ваш компьютер все еще находится в опасности, если вы не устанавливаете обновления Windows.

Windows 10 делает эти автоматические обновления простыми Плюсы и минусы принудительных обновлений в Windows 10Обновления изменится в Windows 10. Прямо сейчас вы можете выбирать. Windows 10, однако, заставит вас обновляться. У него есть преимущества, такие как повышение безопасности, но оно также может пойти не так. Что еще ... Прочитайте больше , но те, на Windows 7, возможно, отключили их. А те, кто все еще использует Windows XP спустя почти четыре года после ее окончания, подвергают себя серьезному риску.

Насколько опасна Java на самом деле?

Взятые вместе, можем ли мы все же сказать, что Java является самой большой угрозой безопасности для настольных компьютеров? На самом деле, нет. С другой стороны, люди по-прежнему используют устаревшие версии Java, хотя им это и не нужно. Это открывает их для уязвимостей безопасности. Однако, поскольку большинство браузеров больше не поддерживают Java, они не открыты для атаки, как это было раньше.

Слабым звеном в безопасности вашего компьютера является самое популярное программное обеспечение, которое вы не обновляете. Если у вас самая новая версия Java, но вы до сих пор не удалил неподдерживаемый QuickTime для Windowsэто большой риск. Наличие устаревшей версии Flash, Adobe Reader или iTunes может открыть для вас атаки.

текущее настроение: отказ в обновлении программного обеспечения в течение 18 месяцев, и теперь инструмент для загрузки устарел

- мотыльки (@ 13 месяцев) 12 февраля 2018 г.

Из приведенных выше данных мы можем сделать вывод, что программы без автоматических обновлений обычно наименее безопасны. Например, iTunes постоянно просит пользователей обновить, что раздражает. Это заставляет людей игнорировать обновления и оставлять незащищенную версию установленной.

А как насчет Mac и Linux?

Выше мы сосредоточились на Java для Windows, но стоит быстро упомянуть, как это влияет и на пользователей Mac и Linux.

Удивительно, но в то время как Apple не позволяет плагинам запускаться по умолчанию в Safari, браузер по-прежнему поддерживает старые плагины, такие как Java и Silverlight. Хотя вам следует удалить Java на вашем Mac, если вам это не нужно по определенной причине, Java не вызывает столько проблем для пользователей Mac, сколько в Windows. В последнее время большинство дыр в безопасности в macOS были благодаря упущениям со стороны самой Apple.

Мне нужно для чего-то установить NetBeans. Версия для Mac поставляется в виде установочного пакета (!), Который был красным флагом. Но потом он захотел, чтобы я установил Java…

Неа. Нету Нету Нету. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Киберпанк 2077 отстой (@_nulldragon) 8 февраля 2018 г.

Linux также не видел никаких уникальных уязвимостей Java. Если вам нужен браузер, поддерживающий Java в Linux, вы можете попробовать ESR (расширенная поддержка выпуска) версия Firefox. Firefox предоставляет эту версию для бизнес-сред; он предоставляет последние обновления безопасности, но дольше ждет развертывания обновлений функций. Текущая версия, 52, поддерживает Java и другие устаревшие плагины будут доступны до 2-го квартала 2018 года.

Будущее без плагинов

Хорошей новостью является то, что вам не нужно большинство из них потенциально опасные и раздражающие плагины Подумайте, Flash - единственный незащищенный плагин? Подумай еще разFlash - не единственный плагин для браузера, который представляет угрозу для вашей конфиденциальности и безопасности в Интернете. Вот еще три плагина, которые вы, вероятно, установили в своем браузере, но должны удалить сегодня. Прочитайте больше установлено больше. Очень немногие веб-сайты используют Java, и основная программа, для которой люди сохранили Java, - Minecraft -теперь включает безопасную версию Java Как установить полную версию Minecraft на ПК с LinuxMinecraft - одна из самых больших игр в мире, которая работает практически на любой платформе. Хотите запустить его на своем компьютере с Linux? Мы покажем вам, как. Прочитайте больше . Другие плагины тоже не нужны. Microsoft устарела Silverlight несколько лет назад, и вам будет сложно найти сайт с контентом Shockwave.

Flash - это единственное исключение Die Flash Die: текущая история технологических компаний, пытающихся убить FlashВспышка давно пришла в упадок, но когда она умрет? Прочитайте больше . Большинство браузеров все еще поддерживают его из-за его популярности, но Adobe уничтожит его в 2020 году. До тех пор, убедитесь, что вы обновляете Flash на своем ПК. Chrome делает это автоматически, поэтому вы можете даже не устанавливать его (и это здорово).

Короче говоря: Java все еще небезопасна, но представляет меньший риск благодаря отключению ее браузерами. Вам следует удалить ненужные программы (включая старые плагины), обновлять программное обеспечение на вашем компьютере и устанавливать обновления ОС. Если вы сделаете это, вы будете в достатке.

Изображение предоставлено: avemario /Depositphotos