Videó: Java для начинающих. Урок 23(продолжение): Форматирование строк в Java (December 2024)
Az AV-Test által nemrég kiadott jelentésnek hatalmas ébresztőóra kell lennie, bárki számára, aki nem fordít figyelmet a szoftverfrissítésekre. Tízéves tanulmány után a kutatók arra a következtetésre jutottak, hogy az Adobe és a Java biztonsági rései a Windowsban aktívan kiaknázott sebezhetőségek 66% -áért felelősek.
A modern alkalmazások elég bonyolultak, hogy mindig legyenek hibák, és bizonyos esetekben a hiba a számítógépet megnyithatja a rosszindulatú programok általi invázióval szemben. A gyártók ezeket a hibákat a lehető leggyorsabban javítják, de kemény munkájuk nem segít, ha nem marad naprakész. Amikor a cybercrooksok rosszindulatú programokat helyeznek el a számítógépre egy ilyen lyuk kihasználásával, akkor ezt kihasználásnak nevezik.
Segítés és bűnsegély
A jelentés megjegyzi, hogy a böngésző sok felhasználásban bonyolult. A webhely mindenféle információra lekérdezheti a böngészőt, például a pontos böngésző verziót, az operációs rendszert és a kiegészítők, például a Flash és a Java verziószámát. Ez a mechanizmus létezik, így a webhelyek a lehető legjobb felhasználói élmény érdekében testreszabhatják az általuk szállított oldalakat, ám a rosszindulatú webhelyek visszaélhetnek azzal, hogy a visszaadott információk alapján támadásaikat célozzák meg.
Néhányan kihasználja a célzott böngésző sérülékenységeit, ám ezek közül még több támad meg bizonyos fájltípusok feldolgozási hibáinak révén. A jelentés szerint a PDF formátumot "leggyakrabban rosszindulatú szoftverek átviteleként használják a sebezhetőség szempontjából". A veszélyes fájltípusok listájához kattintson a cikk tetején található képre.
Némileg meglepett, hogy finomítottam a ZIP formátumot a Java és HTML után. Aztán eszembe jutott, hogy a Microsoft Office és az Excel által használt DOCX és XLSX formátumok (amelyek sok biztonsági rést okoznak) valójában ZIP fájlok. Keressen egyet bináris szerkesztő segítségével, és látni fogja, hogy az első két karakter PK (Phil Katz esetében), mint bármely más ZIP fájl.
A védelem elérhető
Ha megvan a Norton Internet Security (2014), a Bitdefender Total Security (2014) vagy egy másik legfrissebb biztonsági csomag, akkor valószínűleg soha nem fog megsérteni a kizsákmányolás - zárja be a jelentés. A csomagnak számos lehetősége van a támadás megakadályozására, kezdve az eredeti JavaScript blokkolásával, amely megkísérli a rendszerinformációkat. Letilthatja a PDF, JAR vagy más típusú fájlt is, amely a kizsákmányolást tartalmazza.
Ne feledje, hogy a kizsákmányolás csak egy módja annak, hogy rosszindulatú programokat szállítsunk. Ha a csomag nem blokkolja a kizsákmányoló fájlt, akkor valószínű, hogy a szállított rosszindulatú programokat azonnal, vagy az indítás megkísérlése mellett karanténba helyezi. És természetesen tartsa naprakészen az összes szoftvert.
Lehetséges alternatívák
A PDF-alapú sebezhetőségeket az Adobe Reader tartalmazza, így egy másik PDF-megjelenítő, például az ingyenes Foxit Reader 5.1 használata segíthet. (Vegye figyelembe azonban, hogy a Foxit Readernek néhány saját lyukat javítania kellett).
Ami a Flash-et illeti, a webhelyeknek működniük kell nélküle, vagy flopolniuk kell az iOS-eszközökön. A jelentés megjegyzi, hogy a Mozilla támogatja a Shumway-t, egy nyílt forrású projektet, amelynek célja a Flash tartalom HTML5 segítségével történő megjelenítése, Flash Player nélkül.
A Java annyira nehézségekbe ütközött ebben az évben, hogy azt tanácsoltuk az embereknek, hogy tiltsák le, legalább próbaidőszakonként. A jelentés különbözik, és azt sugallja, hogy „szörfözni az internetet Java nélkül… gyakorlatilag lehetetlen”, és ismét egy jó biztonsági csomag ajánlását. Ha ez a téma gyengíti az érdeklődését, akkor feltétlenül el szeretné olvasni a teljes jelentést az AV-Test webhelyén.
