Trang Chủ Đồng hồ an ninh Một java zero-day khác được tìm thấy, kết xuất plugin trình duyệt đó

Một java zero-day khác được tìm thấy, kết xuất plugin trình duyệt đó

Video: Exploits Windows - Google Chrome Vulnerability [Browser Hacking] 2019 (Tháng mười một 2024)

Video: Exploits Windows - Google Chrome Vulnerability [Browser Hacking] 2019 (Tháng mười một 2024)
Anonim

Các nhà nghiên cứu đã phát hiện ra một lỗ hổng zero-day khác trong Java và những kẻ tấn công hiện đang khai thác nó trong tự nhiên.

Lỗ hổng bảo mật, nếu được kích hoạt, dẫn đến việc đọc và ghi bộ nhớ tùy ý trong Máy ảo Java, Darien Kindlund và Yichong Lin, hai nhà nghiên cứu tại FireEye, đã viết trên blog của Phòng thí nghiệm trí thông minh FireEye Malware hôm thứ năm. Nếu thành công, mã tấn công sẽ tải một trình thu thập McRAT và Trojan đánh cắp thông tin vào máy tính của nạn nhân. Đó là một loại lỗ hổng khác với một số loại khác mà chúng ta đã thấy gần đây.

FireEye cho biết một số khách hàng của họ đã thấy cuộc tấn công chống lại các trình duyệt có bật Java. Các lỗi bảo mật nằm trong Java v.1.6 Update 41 và Java v1.7 Update 15 mới nhất, vừa được phát hành vào ngày 19 tháng 2, theo FireEye. Các nhà nghiên cứu đã tiết lộ lỗ hổng cho Oracle (CVE-2013-1493). Không có thông tin khác hiện đang có sẵn từ Oracle.

Nhiều ngày không

Các nhà nghiên cứu của FireEye đã tóm tắt tình cảm phổ biến trong tiêu đề của bài viết, Cạn YAJ0: Tuy nhiên, một ngày Java khác. Hồi Trong khi Java là mục tiêu tấn công phổ biến trong một thời gian dài, dường như có một sự khai thác về Java ngày không được khai thác trong tự nhiên trong hai tháng qua. Đây là trò chơi mèo vờn chuột giống như chúng ta đã thấy với các công ty khác. Một ngày không được tìm thấy, công ty vá nó, một ngày không mới được tìm thấy. Rửa sạch, rửa sạch và lặp lại.

Oracle, công ty nổi tiếng vì miễn cưỡng phát hành các bản vá lỗi ngoài lịch trình, đã phát hành một số cập nhật khẩn cấp trong năm qua vì các lỗi đã rất nghiêm trọng. Công ty đã phát hành bản cập nhật dự kiến ​​vào ngày 19 tháng 2, nhưng có khả năng lỗi này sẽ gây ra một bản vá khẩn cấp khác.

Tắt nó đi, hoặc giới hạn nó

Bạn có mệt mỏi với toàn bộ vòng luẩn quẩn và muốn có một cách để nhảy xuống? Tắt Java trong trình duyệt. Vô hiệu hóa plugin. Chúng tôi chỉ cho bạn cách vô hiệu hóa Java. Bạn có phải là một trong số rất nhiều người cần Java cho mục đích công việc và trường học và không thể tắt Java trong trình duyệt không?

Dưới đây là những gì bạn có thể làm. Bạn tắt Java trong trình duyệt chính, mặc định của bạn. Trình duyệt bạn sử dụng nhiều nhất không nên có Java. Và sau đó, bạn cài đặt trình duyệt mà bạn không sử dụng tất cả những gì mà hầu hết mọi người thường nói chung là có nhiều hơn một trình duyệt được cài đặt trên máy tính của họ, dù sao thì, và cho phép Java trong đó. Tuy nhiên, điều quan trọng ở đây là bạn không, không bao giờ, hoàn toàn không bao giờ, sử dụng trình duyệt đó để đi đến bất kỳ trang web nào ngoài số ít các trang web bạn cần để chạy Java. Bạn cần sử dụng Bảng đen? Bạn kích hoạt trình duyệt Java. Bạn cần tìm kiếm một cái gì đó đã được đề cập trong phiên Blackboard? Thay vì nhấp vào, sao chép liên kết, kích hoạt trình duyệt mặc định của bạn và dán nó vào.

Nó thêm rất nhiều bước bổ sung, và tôi có thể nói với bạn rằng nó cực kỳ khó chịu. Nhưng tôi cảm thấy an toàn hơn khi biết rằng tôi đang giảm cơ hội bị tấn công bằng một cuộc tấn công lỗ tưới nước. Hãy suy nghĩ về tất cả những nhà phát triển di động tại Facebook, Twitter, Microsoft và Apple. Họ đã truy cập một trang web dành cho nhà phát triển iOS (có thể là một trang mà họ thường xuyên truy cập, xem xét công việc của họ) với các trình duyệt đã bật Java và bị xâm phạm.

Nếu bạn đủ khó chịu, bạn sẽ thực hiện bước tiếp theo, điều này gây áp lực cho công ty ngừng sử dụng Java. Không còn bất kỳ lý do nào để các trang web sử dụng các applet Java, thì Chester Chester Wisniewski, của Sophos, đã nói với tôi tại Hội nghị RSA tuần này. Bạn có thể gây áp lực cho CNTT để bắt đầu chuyển sang một sản phẩm khác. Là khách hàng, bạn có thể yêu cầu nhà cung cấp đưa ra giải pháp thay thế không phải Java hoặc khi đến lúc phải gia hạn đăng ký hoặc hợp đồng, bạn sẽ hủy và chuyển đến một sản phẩm khác. Nói chuyện tiền bạc.

Wisniewski cho biết ông không đưa ra quyết định khuyến nghị tắt Java nhẹ. Ông cân nhắc các phân nhánh một cách cẩn thận và đi đến kết luận rằng tại thời điểm này, đó là điều an toàn nhất để làm.

Một java zero-day khác được tìm thấy, kết xuất plugin trình duyệt đó