Car-tech

Najnovija ažuriranja, izvorno zakazana za puštanje u veljači 19, sadrži 50 sigurnosnih popravaka za 49 nedostataka koji su se daljinski mogli iskoristiti bez odobrenja. To znači da se oni mogu koristiti na mreži bez znanja o korisničkom imenu i lozinku.

Sadržaj:

Anonim

[Daljnje čitanje: Kako biste uklonili zlonamjerni softver s računala sa sustavom Windows]

"Zbog prijetnje koju predstavlja uspješan napad, Oracle preporučuje da korisnici što prije primijene CPU ispravke", upozorila je tvrtka u savjetovalištima za ažuriranje.

Oracle je požurio izjavio je sigurnosni popravak za Javu u siječnju nakon što je tim za sigurnost računala (US-CERT) odjela za domovinsku sigurnost preporučio da ga svi korisnici mogu onemogućiti zbog sigurnosnih problema. Te zabrinutosti su uključivale ranjivost u nultoj danu, koju su iskoristili alatima stvorenim od strane cyber-kriminalaca i koji su koristili za ukrasti osjetljive podatke s računala.

Čak i nakon objavljivanja tog popravka, Java 7 update 11, agencija je i dalje preporučila isključivanje Java, neophodno.

Brzo je postalo jasno da je 7u11 popravak propustio svoju oznaku. Samo nekoliko dana nakon puštanja na tržište haker je počeo trgovati na mrežnom crnom tržištu nekoliko novih Java Zero Day ranjivosti za svaki $ 5000.

Ostali hakeri, možda nedostajući vještina za pronalaženje ranjivosti, počeli su iskoristiti naslove o Java's woes po montažu ekspedicije krađe identiteta koje nude lažne nadogradnje Oracleovog programskog jezika. Nakon instalacije od strane korisnika, lažna nadogradnja instalira stražnja vrata na sustav koji omogućuje hakeru da ga nadzire.

Nedostaci pronađeni u ažuriranju

Javaove nesreće nastavile su se kasnije u mjesecu Security Explorations, povijest pronalaženja sigurnosnih nedostataka u Java, otkrila nove ranjivosti u ažuriranju 7u11 koje bi se mogle iskoristiti kako bi se izbjeglo programski sandbox - programska tehnika koja se koristi za izoliranje štetnog koda koju štetni učinci mogu učiniti sustavu.

"Ovi problemi će se nastaviti dok Oracle ne popravi sandbox ", rekao je u jednom intervjuu analitičar Bitdefender Senior E-Threat Analyst Bogdan Botezatu.

Botezatu je kritiziralo koliko se Oracle oslanjalo na korisnike kako bi održali sigurnost u ažuriranju 7u11.

Na primjer, ažuriranje postavlja, prema zadanim postavkama, najvišu razinu sigurnosti za Java. Na toj razini, svaki put kad se neprikazani Java aplet pokuša pokrenuti u pregledniku, pojavljuje se poruka koja upozorava korisnika da je aplikacija opasna i da korisnik treba nastaviti na vlastiti rizik.

Tipično, korisnici zanemaruju takva upozorenja jer oni ih smetaju. To je osobito vrijedno za djecu koja igraju Java igre na webu - činjenica, ističe Botezatu, a ne izgubljen na digitalnim desperadima. "Vidio sam puno web stranica koje pokreću Java zlonamjerni softver na stranicama koje su optimizirane ključnim riječima namijenjene djeci", rekao je.

Uz najnovije Java ažuriranje, Oracle možda pokušava promijeniti sreću programom. Čini se da je preskočila ažuriranje 12 u shemi numeriranja i odredila najnoviji paket popravaka Java 7 ažuriranja 13.

Da biste to učinili, iskoristili su bug digitalne potvrde koje koriste web stranice da bi dokazale da su oni koji tvrde da su. Iskorištavanjem poznatih nedostataka u algoritmu hashing algoritama MD5 koji se koriste za izradu nekih od tih certifikata, istraživači su uspjeli hakirati Verisignov ovlaštenje za RapidSSL.com i stvoriti lažne digitalne certifikate za bilo koju web stranicu na Internetu.

Da biste to učinili, iskoristili su bug digitalne potvrde koje koriste web stranice da bi dokazale da su oni koji tvrde da su. Iskorištavanjem poznatih nedostataka u algoritmu hashing algoritama MD5 koji se koriste za izradu nekih od tih certifikata, istraživači su uspjeli hakirati Verisignov ovlaštenje za RapidSSL.com i stvoriti lažne digitalne certifikate za bilo koju web stranicu na Internetu.

Stvoriti "otisak prsta" za dokument, broj koji treba jedinstveno identificirati određeni dokument i lako se izračunava kako bi provjerio nije li dokument bio promijenjen u tranzitu. Algoritam hashing algoritma MD5, međutim, je manjkav, što omogućuje stvaranje dva različita dokumenta koji imaju istu hash vrijednost. Na taj način netko može stvoriti certifikat za web lokaciju za krađu identiteta koji ima isti otisak prsta kao i certifikat za originalno web mjesto.

Izvorno nazvan "Qube", proizvod je oblikovan kao kocka i privlači pažnju zbog male veličine kada je izvorno najavljen na Međunarodnom CES-u u siječnju ove godine. Osim prijenosa videozapisa s usluge Google Play i Netflix, korisnici mogu gledati vlastite pohranjene filmove s 50 GB besplatne pohrane u oblaku koji je isporučen s uređajem.

Izvorno nazvan "Qube", proizvod je oblikovan kao kocka i privlači pažnju zbog male veličine kada je izvorno najavljen na Međunarodnom CES-u u siječnju ove godine. Osim prijenosa videozapisa s usluge Google Play i Netflix, korisnici mogu gledati vlastite pohranjene filmove s 50 GB besplatne pohrane u oblaku koji je isporučen s uređajem.

[Dodatno čitanje: Najbolji prenaponski zaštitnici za vašu skupu elektroniku]

ČIni se da je gotovo sve lomljivo kada je riječ o sigurnosti na Internetu. Vidjeli smo čak i najbolje sigurnosne sustave koji imaju jedan ili više nedostataka koji se mogu iskoristiti za dobrobit hakera. Ne, neki profesori na tri sveučilišta pokazali su da korištenje bankovnih lozinki preko WiFi-a više nije sigurno. Oni su došli do papira kako bi pokazali kako hakeri mogu ukrasti vaše lozinke preko WiFi-a.

ČIni se da je gotovo sve lomljivo kada je riječ o sigurnosti na Internetu. Vidjeli smo čak i najbolje sigurnosne sustave koji imaju jedan ili više nedostataka koji se mogu iskoristiti za dobrobit hakera. Ne, neki profesori na tri sveučilišta pokazali su da korištenje bankovnih lozinki preko WiFi-a više nije sigurno. Oni su došli do papira kako bi pokazali kako hakeri mogu ukrasti vaše lozinke preko WiFi-a.

Kako hakeri mogu ukrasti lozinke preko WiFi-a