Casa Securitywatch Un altro java zero-day trovato, scarica quel plugin del browser

Un altro java zero-day trovato, scarica quel plugin del browser

Video: Отключение Java в Windows (Google Chrome, Yandex Browser, Firefox, IE) (Novembre 2024)

Video: Отключение Java в Windows (Google Chrome, Yandex Browser, Firefox, IE) (Novembre 2024)
Anonim

I ricercatori hanno scoperto l'ennesima vulnerabilità zero-day in Java e gli aggressori la stanno sfruttando allo stato brado.

Il difetto di sicurezza, se innescato, porta alla lettura e alla scrittura arbitrarie della memoria nella Java Virtual Machine, Darien Kindlund e Yichong Lin, due ricercatori di FireEye, hanno scritto sul blog FireEye Malware Intelligence Lab giovedì. In caso di successo, il codice di attacco scarica un contagocce McRAT e ruba informazioni sul computer della vittima. È un tipo diverso di difetto rispetto ad alcuni degli altri che abbiamo visto di recente.

FireEye ha affermato che molti dei suoi clienti hanno visto l'attacco contro i browser con Java abilitato. I difetti di sicurezza sono in Java v.1.6 Update 41 e l'ultimo Java v1.7 Update 15, che è stato appena rilasciato il 19 febbraio, secondo FireEye. I ricercatori hanno già rivelato la vulnerabilità a Oracle (CVE-2013-1493). Al momento non sono disponibili altre informazioni da Oracle.

Più giorni zero

I ricercatori di FireEye hanno riassunto bene il sentimento prevalente nel titolo del post, "YAJ0: Yet Another Java 0-Day". Mentre Java è stato un obiettivo di attacco popolare per lungo tempo, sembra esserci uno sfruttamento di Java zero-day sfruttati allo stato brado negli ultimi due mesi. È lo stesso gioco del gatto e topo che abbiamo visto con altre società. Viene trovato un giorno zero, l'azienda lo aggiusta, viene trovato un nuovo giorno zero. Lavare, risciacquare e ripetere.

Oracle, la società ben nota per la sua riluttanza a rilasciare le patch fuori programma, ha rilasciato diversi aggiornamenti di emergenza nell'ultimo anno perché i bug sono stati così gravi. La società ha rilasciato un aggiornamento programmato il 19 febbraio, ma è probabile che questo bug spinga a ennesima patch di emergenza.

Disattivalo o limitalo

Sei stanco di tutta la giostra e vuoi un modo per saltare? Disattiva Java nel browser. Disabilita il plugin. Ti mostriamo come disabilitare Java. Sei una delle tante, molte persone che hanno bisogno di Java per motivi di lavoro e scolastici e non possono disattivare Java nel browser?

Ecco cosa puoi fare. Disabiliti Java nel tuo browser principale predefinito. Il browser che usi di più non dovrebbe avere Java. E poi installi il browser che non usi così spesso - la maggior parte delle persone generalmente ha più di un browser installato sui loro computer - e abilita Java in questo. La cosa importante qui, però, è che non usi mai, mai, assolutamente mai, quel browser per andare su qualsiasi sito diverso da quella manciata di siti su cui devi eseguire Java. Devi usare la lavagna? Si avvia il browser Java. Devi cercare qualcosa che è stato menzionato durante la sessione di Blackboard? Invece di fare clic, copiare il collegamento, avviare il browser predefinito e incollarlo.

Aggiunge molti passaggi extra e posso dirti che è tremendamente fastidioso. Ma mi sento più sicuro sapendo che sto riducendo le mie possibilità di essere colpito da un attacco di abbeveratoio. Pensa a tutti quegli sviluppatori mobili su Facebook, Twitter, Microsoft e Apple. Hanno visitato un sito Web per sviluppatori iOS (probabilmente un sito visitato con regolarità, considerando i loro lavori) con browser che avevano Java abilitato e sono stati compromessi.

Se sei abbastanza infastidito, farai il passo successivo, che è la pressione dell'azienda per smettere di usare Java. "Non vi è più alcun motivo per cui i siti Web utilizzino applet Java", mi ha detto Chester Wisniewski, di Sophos, alla conferenza RSA di questa settimana. Puoi fare pressione sull'IT per iniziare a passare a un altro prodotto. Come clienti, puoi dire al fornitore di trovare un'alternativa non Java o quando arriva il momento di rinnovare l'abbonamento o il contratto, annullerai e passerai a un altro prodotto. Il denaro parla.

Wisniewski ha dichiarato di non aver preso la decisione di consigliare di spegnere Java alla leggera. Considerò attentamente le conseguenze e giunse alla conclusione che al momento era la cosa più sicura da fare.

Un altro java zero-day trovato, scarica quel plugin del browser