ГлавнаяБезопасность

Почему Java теперь представляет меньшую угрозу безопасности в Windows, Mac и Linux

Java, которая когда-то была жизненно важным компонентом сети, за последние несколько лет упала в популярности. Большинство современных браузеров по умолчанию блокируют Java, и большинству домашних пользователей больше не нужно его устанавливать.

Мы давно слышали, что Java является единственным наиболее небезопасным программным обеспечением для настольных компьютеров, особенно для Windows. Но так ли это до сих пор? Давайте копаться и узнавать.

Исторические проблемы с Java

Основная причина того, что Java стала такой популярной целью для атак, заключается в том, насколько широко она распространена. Поскольку Java была разработана для максимальной совместимости, она работает на множестве устройств. В дополнение к компьютерам Java поддерживает Blu-ray плееры, принтеры, системы оплаты парковки, лотерейные устройства и многое другое. Это противоположность безопасности через неизвестность: главная платформа обеспечивает лучшую отдачу от атаки.

Конечно, мы имеем дело с Java на рабочем столе. И самое страшное в том, что Java не обновляется автоматически. В отличие от большинства других современных программ, Java просто просит пользователя установить обновления при их наличии. Еще хуже то, что по умолчанию Java проверяет наличие обновлений только раз в неделю или даже раз в месяц. Это опасно для приложения с таким количеством уязвимостей.

Многие люди видят запрос на обновление и игнорируют его, в результате чего они запускают устаревшую версию Java. А с новыми версиями, предлагаемыми регулярно, даже те, кто устанавливает некоторые обновления, могут разочароваться и игнорировать дальнейшие. В некоторых случаях, даже когда пользователи устанавливают новую версию, они также оставляют установленную старую копию Java. Это расширяет их уязвимость для атаки.

Конечно, мы не можем забыть давнюю сагу Java о включении ужасной панели инструментов Ask. Каждый раз, когда вы устанавливали или обновляли Java, вам приходилось не снимать флажок, иначе он включал бы этот мусор. Хотя это и не было подвигом, это оставило неприятный вкус в устах пользователей.

Яве исполняется 22 года

Мы должны отправить Oracle торт с панелью инструментов Ask.

— Тим Барретт (@timbarrett) 24 января 2018 года

Современная Ява

Так вот, что было не так с Java в прошлом, но как насчет недавнего?

В октябре 2017 года Veracode обнаружил, что 88 процентов Java-приложений содержат как минимум один уязвимый компонент. В начале 2016 года Oracle объявила, что даже установщик Java был уязвим. Если злоумышленник поместит файл DLL с определенным именем в папку «Загрузки», он вызовет заражение при запуске установщика Java. И вообще, из-за популярности Java вам нужно будет только посетить взломанный сайт, который воспользовался вашей устаревшей копией Java для заражения.

Хотя это означает, что Java далеко не безопасна, есть и хорошие новости. В начале 2016 года Oracle объявила, что планирует отказаться от плагина Java-браузера (который является источником большинства проблем) в JDK 9, который доступен сейчас. Современные браузеры также оставили Java. Chrome прекратил поддержку Java в конце 2015 года, а Firefox прекратил его поддержку в начале 2017 года. Браузер Microsoft Edge, включенный в Windows 10, вообще не поддерживает Java.

Это означает, что если вам действительно нужно использовать Java в браузере, вам придется придерживаться Internet Explorer.

Самые большие уязвимости

Поскольку популярность Java снижается, что заняло место самого небезопасного программного обеспечения для настольных ПК?

Последние данные Flexera за первый квартал 2017 года показывают, что 7,8% программ на среднем ПК достигли конца своей жизни. Он входит в десятку самых уязвимых программ на основе доли рынка, умноженной на процент пользователей, которые не были исправлены:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle для ПК 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. Utorrent 3.x
  10. iCloud для Windows 6.x

Этот список может вас удивить. Хотя Java не самая рискованная программа, она все же вторая. Другие программы, которые мы обычно не связываем с рисками безопасности, такие как VLC и Malwarebytes, тоже имеют место. Это иллюстрирует важность поддержания всего вашего программного обеспечения в актуальном состоянии.

не только популярные.

Мы можем увидеть больше, изучив отчет по безопасности Avast за третий квартал 2017 года. В нем перечислены 10 самых устаревших программ на компьютерах пользователей:

  1. Java 6, 7 и 8
  2. Adobe Air
  3. Adobe Shockwave
  4. VLC Media Player
  5. Itunes
  6. Fire Fox
  7. 7-Zip
  8. WinRAR
  9. QuickTime
  10. Adobe Flash Player

java security - устаревший список программ

Когда вы включаете более старые версии, кажется, что Java по-прежнему стоит на вершине наименее обновленного программного обеспечения. Плагины Adobe также являются крупными виновниками, и мы видим, что iTunes и VLC также составили этот список.

И наоборот, согласно TechRadar, Chrome выходит на первое место по обновленным приложениям. При опросе 88% пользователей, использующих Chrome, установили последнюю версию. Это показывает, как бесшумные автоматические обновления имеют огромное значение по сравнению с ноющими запросами на обновление, используемыми средами исполнения Java и Adobe.

Не забывайте обновления ОС слишком

Еще одна важная составляющая обновления — это обновление ОС. Помните, что пользователи, у которых были установлены автоматические обновления, были избавлены от ужасной атаки вымогателей в середине 2017 года

, Даже если вы постоянно обновляете программное обеспечение, такое как Java, ваш компьютер все еще находится в опасности, если вы не устанавливаете обновления Windows.

Windows 10 делает эти автоматические обновления простыми

, но те, на Windows 7, возможно, отключили их. А те, кто все еще использует Windows XP спустя почти четыре года после ее окончания, подвергают себя серьезному риску

,

Насколько опасна Java на самом деле?

Взятые вместе, можем ли мы все же сказать, что Java является самой большой угрозой безопасности для настольных компьютеров? На самом деле, нет. С другой стороны, люди по-прежнему используют устаревшие версии Java, хотя им это и не нужно. Это открывает их для уязвимостей безопасности. Однако, поскольку большинство браузеров больше не поддерживают Java, они не открыты для атаки, как это было раньше.

Слабым звеном в безопасности вашего компьютера является самое популярное программное обеспечение, которое вы не обновляете. Если у вас самая новая версия Java, но вы еще не удалили неподдерживаемый QuickTime для Windows, это большой риск. Если у вас есть устаревшая версия Flash, Adobe Reader или iTunes, то вы тоже можете атаковать.

текущее настроение: отказ в обновлении программного обеспечения в течение 18 месяцев, и теперь инструмент для загрузки устарел

— мотыльки (13 месяцев) 12 февраля 2018 г.

Из приведенных выше данных мы можем сделать вывод, что программы без автоматических обновлений обычно наименее безопасны. Например, iTunes постоянно просит пользователей обновить, что раздражает

, Это заставляет людей игнорировать обновления и оставлять незащищенную версию установленной.

А как насчет Mac и Linux?

Выше мы сосредоточились на Java для Windows, но стоит быстро упомянуть, как это влияет и на пользователей Mac и Linux.

Удивительно, но в то время как Apple не позволяет плагинам запускаться по умолчанию в Safari, браузер по-прежнему поддерживает старые плагины, такие как Java и Silverlight. Хотя вам следует удалять Java на вашем Mac, если вам это не нужно по определенной причине, Java не вызывает столько проблем у пользователей Mac, сколько в Windows. В последнее время большинство дыр в безопасности в macOS были вызваны упущениями самой Apple.

Мне нужно для чего-то установить NetBeans. Версия для Mac поставляется в виде установочного пакета (!), Который был красным флагом. Но потом он захотел, чтобы я установил Java…

Нету. Нету Нету Нету. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

— Жаждущий осел Хо (@_nulldragon) 8 февраля 2018 года

Linux также не видел никаких уникальных уязвимостей Java. Если вам нужен браузер, поддерживающий Java в Linux, вы можете попробовать версию Firefox для ESR (Extended Support Release). Firefox предоставляет эту версию для бизнес-сред; он предоставляет последние обновления безопасности, но дольше ждет развертывания обновлений функций. Текущая версия, 52, поддерживает Java и другие устаревшие плагины будут доступны до 2-го квартала 2018 года.

Будущее без плагинов

Хорошей новостью является то, что вам не нужно большинство этих потенциально опасных и раздражающих плагинов

установлено больше. Очень немногие веб-сайты используют Java, а основная программа, для которой люди сохранили Java, — Minecraft — теперь включает безопасную версию Java

, Другие плагины тоже не нужны. Microsoft устарела Silverlight много лет назад, и вам будет сложно найти сайт с контентом Shockwave.

Flash — это единственное исключение

, Большинство браузеров по-прежнему поддерживают его из-за его популярности, но Adobe прекратит его использование в 2020 году. До тех пор не забудьте обновить Flash на своем ПК. Chrome делает это автоматически, так что вы можете даже не устанавливать его (и это здорово).

Короче говоря: Java по-прежнему небезопасна, но представляет меньший риск благодаря отключению ее браузерами. Вы должны удалить программы, которые вам не нужны (включая старые плагины), обновлять программное обеспечение на вашем компьютере

и применить обновления ОС. Если вы сделаете это, вы будете в достатке.

У вас все еще установлены Java и другие устаревшие плагины? Если да, то для чего они вам нужны? Дайте свои мысли о Java ниже!

Кредит изображения: avemario / Depositphotos

Поделиться с друзьями:
Поделиться
Отправить
Класснуть
Ссылка на основную публикацию
Похожие публикации
© 2024 Все права защищены.
Adblock
detector