Proč Java nyní méně ohrožuje zabezpečení ve Windows, Mac a Linux

reklama

Java, kdysi zásadní součást webu, v posledních několika letech klesla na popularitě. Většina moderních prohlížečů ve výchozím nastavení blokuje Javu a většina domácích uživatelů ji již nemusí instalovat.

Dlouho jsme slyšeli, že Java je jediným nejnebezpečnějším softwarem pro stolní počítače, zejména Windows. Ale je to stále pravda? Pojďme se dovolat a zjistit to.

Historické problémy s Javou

Hlavním důvodem, proč se Java stala tak populárním cílem útoku, je její rozšířenost. Protože Java byla navržena pro maximální kompatibilitu, běží na mnoha zařízeních. Kromě počítačů Java napájí Blu-ray přehrávače, tiskárny, parkovací platební systémy, loterijní zařízení a mnoho dalšího. Je to opak bezpečnost skrze nejasnost: hlavní platforma poskytuje nejlepší návratnost za útok.

Samozřejmě se zabýváme Java na ploše. A nejhorší je, že Java se sama neaktualizuje automaticky. Na rozdíl od většiny ostatních moderních programů Java jednoduše požádá uživatele o instalaci aktualizací, pokud jsou k dispozici. A co je ještě horší, ve výchozím nastavení Java kontroluje aktualizace pouze jednou týdně nebo dokonce jednou měsíčně. To je nebezpečné pro aplikaci s tolika chybami zabezpečení.

Mnoho lidí vidí výzvu k aktualizaci a ignoruje ji, což má za následek zastaralou verzi Java. A s pravidelně nabízenými novými verzemi mohou i ti, kdo instalují některé aktualizace, být frustrovaní a další ignorovat. V některých případech, i když uživatelé instalují novou verzi, ponechávají také starou kopii Java nainstalovanou. Tím se zvyšuje jejich zranitelnost vůči útoku.

Samozřejmě nesmíme zapomenout na dlouho trvající ságu Java hrozný Ask Toolbar. Pokaždé, když jste nainstalovali nebo aktualizovali Javu, musíte si pamatovat, že zrušíte zaškrtnutí políčka, nebo by to obsahovalo nevyžádanou položku. I když to není zneužití, zanechalo to v ústech uživatelů špatný vkus.

Java obrací 22 dnes.

Měli bychom poslat Oracle dort s položkou Ask Toolbar.

- Tim Barrett (@timbarrett) 24. ledna 2018

Moderní Java

Tak to bylo v minulosti s Javou špatně, ale co nedávno?

V říjnu 2017 společnost Veracode zjistila, že [Už není k dispozici], že 88 procent aplikací Java obsahuje alespoň jednu zranitelnou součást. Začátkem roku 2016 to společnost Oracle oznámila zranitelný byl i instalační program Java. Pokud útočník umístí do složky Soubory ke stažení soubor DLL se specifickým názvem, spustí se při spuštění instalačního programu Java infekce. A obecně, vzhledem k popularitě Java, stačí navštivte ohrožený web které využily vaši zastaralou kopii Java k infikování.

I když to znamená, že Java není ani zdaleka bezpečná, existují dobré zprávy. Na začátku roku 2016 Oracle oznámil že plánuje zavrhnout plugin pro prohlížeč Java (který je zdrojem většiny problémů) v JDK 9, který je nyní k dispozici. Moderní prohlížeče také zanechaly Java. Chrome ukončil podporu Java na konci roku 2015 a Firefox to přestal podporovat začátkem roku 2017. Prohlížeč Edge společnosti Microsoft, který je součástí Windows 10, nepodporuje Javu vůbec.

To znamená, že pokud opravdu potřebujete používat Javu v prohlížeči, musíte se držet aplikace Internet Explorer.

Největší zranitelnosti

Vzhledem k tomu, že Java upadá v oblibě, co se stalo jejím nejnebezpečnějším stolním softwarem?

Nejnovější data společnosti Flexera, od Q1 2017, ukazuje, že 7,8% programů v průměrném PC dosáhlo konce svého života. Řadí se mezi 10 nejexponovanějších programů na základě podílu na trhu vynásobeného procentem uživatelů, kteří nejsou opraveni:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle pro PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud pro Windows 6.x

Tento seznam vás možná překvapí. I když Java není nejrizikovějším programem, stále je to druhý. Ostatní programy, které obvykle nepřidružujeme k bezpečnostním rizikům, jako jsou VLC a Malwarebytes, také drží místo. To ilustruje důležitost udržování veškerého softwaru v aktuálním stavu, nejen těch oblíbených.

Můžeme vidět více zkoumáním Bezpečnostní zpráva společnosti Avast za Q3 2017. Uvádí seznam 10 nejaktuálnějších programů na počítačích uživatelů:

1. Java 6, 7 a 8
2. Adobe Air
3. Adobe Shockwave
4. Přehrávač médií VLC
5. iTunes
6. Firefox
7. 7-Zip
8. WinRAR
9. QuickTime
10. Adobe Flash Player

Pokud zahrnete starší verze, zdá se, že Java stále patří mezi nejaktuálnější software. Pluginy Adobe jsou také velkými viníky a my vidíme, že iTunes a VLC vytvořily tento seznam.

Naopak, podle TechRadar, Chrome vychází na vrcholu aktualizovaných aplikací. Po průzkumu mělo 88% uživatelů se systémem Chrome nainstalovanou nejnovější verzi. To ukazuje, jak tiché automatické aktualizace mají obrovský rozdíl ve srovnání s výzvami na aktualizaci, které používají runtime Java a Adobe.

Nezapomeňte také na aktualizace operačního systému

Další důležitou součástí aktualizace je zapamatování aktualizací operačního systému. Nezapomeňte, že uživatelé, kteří měli nainstalované automatické aktualizace, byli ušetřeni hrozný útok ransomware v polovině roku 2017 Globální útok Ransomware a jak chránit vaše dataMasivní kybernetický útok zasáhl počítače po celém světě. Byl jste ovlivněn vysoce virulentním samoreplikujícím se ransomwarem? Pokud ne, jak můžete chránit svá data bez zaplacení výkupného? Přečtěte si více . I když aktualizujete software, jako je Java, váš počítač je stále ohrožen, pokud nenainstalujete aktualizace systému Windows.

Windows 10 usnadňuje tyto automatické aktualizace Výhody a nevýhody nucených aktualizací v systému Windows 10Aktualizace se v systému Windows 10 změní. Nyní si můžete vybrat a vybrat. Windows 10 vám však vynutí aktualizace. Má výhody, jako je zlepšené zabezpečení, ale může se také pokazit. A co víc ... Přečtěte si více , ale uživatelé v systému Windows 7 je mohli zakázat. A ti, kteří stále používají systém Windows XP téměř čtyři roky po jeho ukončení, se vystavují velkému riziku.

Jak nebezpečná je Java, opravdu?

Dohromady můžeme říci, že Java je největším bezpečnostním rizikem pro stolní počítače? Spíš ne. Na druhou stranu lidé stále provozují zastaralé verze Java, i když to opravdu nepotřebují. Tím se otevírají až k chybám zabezpečení. Protože však většina prohlížečů Java již nepodporuje, nejsou otevřeny útokům, jako tomu bylo kdysi.

Slabý článek v zabezpečení vašeho počítače pochází z nejpopulárnějšího softwaru, který neaktualizujete. Pokud máte nejnovější verzi Java, ale stále nemáte odinstaloval nepodporovaný QuickTime pro Windows, to je velké riziko. Mít zastaralou verzi Flash, Adobe Reader nebo iTunes by vás mohlo otevřít až k útoku.

aktuální nálada: odmítnutí aktualizace softwaru na 18 měsíců a nyní je nástroj ke stažení zastaralý

- můry (@ 13_ můry) 12. února 2018

Z výše uvedených údajů můžeme získat, že programy bez automatických aktualizací jsou obvykle nejméně bezpečné. Například iTunes neustále žádá uživatele o aktualizaci, což je nepříjemné. To vede lidi k ignorování aktualizací a nechává nainstalovanou nezabezpečenou verzi.

A co Mac a Linux?

Zaměřili jsme se na Javu pro Windows výše, ale stojí za to rychle zmínit, jak to ovlivňuje také uživatele Mac a Linux.

Je překvapivé, že zatímco společnost Apple ve výchozím nastavení Safari nepovoluje spouštění pluginů, prohlížeč stále podporuje staré pluginy, jako je Java a Silverlight. I když byste měli odinstalovat Javu na vašem Macu, pokud ji nepotřebujete ze specifického důvodu, Java nezpůsobila uživatelům Mac tolik problémů jako v systému Windows. V poslední době byla většina bezpečnostních děr v MacOSu díky dohledům od samotného Apple.

Potřebuji něco nainstalovat NetBeans. Verze pro Mac se dodává jako instalační balíček (!), Což byl červený příznak. Ale pak to chtělo, abych nainstaloval Javu ...

Ani náhodou. Ne, ne, ne. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8. února 2018

Linux také neviděl žádné jedinečné chyby zabezpečení Java. Pokud potřebujete prohlížeč, který podporuje Javu v Linuxu, můžete vyzkoušet ESR (Extended Support Release) verze Firefoxu. Firefox poskytuje tuto verzi pro obchodní prostředí; poskytuje nejnovější aktualizace zabezpečení, ale čeká déle na zavedení aktualizací funkcí. Aktuální verze, 52, podporuje Javu a další starší pluginy, bude k dispozici až někdy v Q2 2018.

Budoucnost bez pluginů

Dobrou zprávou je, že většinu z nich nepotřebujete potenciálně nebezpečné a nepříjemné doplňky Think Flash je jediný nejistý plugin? Zamyslete se znovuFlash není jediný plugin prohlížeče, který představuje riziko pro vaše soukromí a zabezpečení online. Zde jsou další tři pluginy, které jste pravděpodobně nainstalovali do svého prohlížeče, ale měli byste je odinstalovat ještě dnes. Přečtěte si více nainstalován již. Pouze velmi málo webů používá Javu a hlavní program, pro který lidé Java nainstalovali - Minecraf -nyní obsahuje bezpečnou dodávanou verzi Java Jak nainstalovat plnou verzi Minecraft na Linux PCMinecraft je jednou z největších her na světě a běží prakticky na všech platformách. Chcete ji spustit na počítači se systémem Linux? Ukážeme vám jak. Přečtěte si více . Jiné pluginy také nejsou nutné. Microsoft před lety zastaral Silverlight a bylo by těžké najít web s obsahem Shockwave.

Flash je osamělá výjimka Die Flash Die: Průběžná historie technologických společností, které se snaží zabít FlashFlash dlouhodobě upadá, ale kdy zemře? Přečtěte si více . Většina prohlížečů ji stále podporuje kvůli své popularitě, ale Společnost Adobe ji v roce 2020 zabije. Do té doby se ujistěte, že aktualizujete Flash na vašem PC. Chrome to dělá automaticky, takže jej možná ani nebudete mít nainstalovaný (což je skvělé).

Takže zkrátka: Java je stále nejistá, ale kvůli prohlížečům, které ji deaktivují, představuje menší riziko. Měli byste odinstalovat programy, které nepotřebujete (včetně starých pluginů), aktualizovat software v počítači a používat aktualizace operačního systému. Pokud tak učiníte, budete se dobře bavit.

Obrázek Kredit: avemario /Depositphotos