Zašto je Java manje sigurnosnog rizika sada u sustavima Windows, Mac i Linux

Oglas

Java, nekad vitalna komponenta interneta, u posljednjih nekoliko godina je postala popularna. Većina modernih preglednika podrazumijeva blokiranje Jave, a većina kućnih korisnika više je ne treba instalirati.

Dugo smo čuli da je Java najsigurniji softver za stolna računala, posebno Windows. No, je li to još uvijek istina? Idemo kopati i saznati.

Povijesni problemi s Javom

Glavni razlog što je Java postala toliko popularna meta napada je koliko je raširena. Budući da je Java dizajnirana za maksimalnu kompatibilnost, radi na većem broju uređaja. Pored računala, Java pokreće Blu-ray playere, pisače, sustave za parkiranje, uređaje za lutriju i još mnogo toga. To je suprotno od toga sigurnost kroz opskurnost: glavna platforma pruža najbolje plaćanje za napad.

Naravno, mi se brinemo o Javi na radnoj površini. I tu je najgori prekršaj taj što se Java ne ažurira automatski. Za razliku od većine drugih modernih programa, Java jednostavno traži od korisnika da instalira ažuriranja kada su dostupna. Još gore, Java zadaje ažuriranja samo tjedno ili čak jednom mjesečno. To je opasno za aplikaciju s toliko sigurnosnih ranjivosti.

Mnogi ljudi vide odzivnik ažuriranja i zanemaruju ga, što rezultira time da u njima radi zastarjela verzija Jave. A s novim inačicama koje se redovito nude, čak i one koje instaliraju neka ažuriranja mogu se frustrirati i zanemariti daljnje. U nekim slučajevima, čak i kada korisnici instaliraju novu verziju, ostavljaju i staru kopiju Java. To proširuje njihovu ranjivost na napade.

Naravno, ne možemo zaboraviti Javinu dugogodišnju sagu o uključivanju strašna Ask Toolbar. Svaki put kada ste instalirali ili ažurirali Java, morali ste se sjetiti da biste poništili okvir ili će taj komad smeća biti uključen. Iako nije iskorištavanje, to je ostavilo loš ukus u ustima korisnika.

Java danas ima 22 godine.

Trebali bismo poslati Oracle kolaču s traženom alatnom trakom.

- Tim Barrett (@timbarrett) 24. siječnja 2018

Moderna Java

To je ono što s Javom nije bilo u prošlosti, ali što je s nedavnom?

U listopadu 2017. Veracode je otkrio [No Longer Available] da 88 posto Java aplikacija sadrži barem jednu ranjivu komponentu. Početkom 2016. Oracle je to objavio čak je i Java instalater bio ranjiv. Ako je napadač stavio DLL datoteku s određenim imenom u mapu za preuzimanje, to bi izazvalo zarazu kada pokrenete instalacijski program Java. I općenito, zbog Java popularnosti, to biste trebali samo posjetite ugroženu web stranicu koji su iskoristili zarazu vaše zastarjele kopije Jave.

Iako to znači da je Java daleko od sigurne, postoje i dobre vijesti. Početkom 2016. god. Objavio je Oracle da planira ukloniti dodatak Java preglednika (što je izvor većine problema) u JDK 9, koji je dostupan sada. Moderni preglednici ostavili su i Javu. Chrome je odustao od podrške za Javu krajem 2015. i Firefox je prestao podržavati početkom 2017. godine. Microsoftov preglednik Edge, koji je uključen u sustav Windows 10, ne podržava Javu uopće.

To znači da ako zaista trebate koristiti Java u pregledniku, morat ćete se pridržavati Internet Explorera.

Najveće ranjivosti

Budući da je Java opadala po popularnosti, što je zauzelo njezino mjesto kao najsigurniji softver za stolna računala?

Najnoviji podaci tvrtke Flexera, od prvog tromjesečja 2017., otkriva da je 7,8% programa na prosječnom računalu završilo svoj život. Poreda 10 najboljih najizloženijih programa na temelju tržišnog udjela pomnoženog s postotkom korisnika koji nisu zakrpljeni:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle za PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud za Windows 6.x

Ovaj će vas popis možda iznenaditi. Iako Java nije najrizičniji program, ipak je to drugi. Ostali programi koje obično ne povezujemo sa sigurnosnim rizicima, kao što su VLC i Malwarebytes, također imaju mjesto. Ovo pokazuje koliko je važno ažurirati sav svoj softver, a ne samo onaj popularan.

Više možemo vidjeti ispitivanjem Avastovo izvješće o sigurnosti za Q3 2017. Na popisu 10 najboljih programa koji su zastarjeli na računalima svojih korisnika:

1. Java 6, 7 i 8
2. Adobe Air
3. Adobe Shockwave
4. VLC Media Player
5. iTunes
6. Firefox
7. 7-Poštanski
8. WinRAR
9. Brzo vrijeme
10. Adobe Flash Player

Kad uključite starije verzije, čini se da Java i dalje prelazi najmanje ažurirani softver. Adobeovi su dodaci također veliki krivci, a vidimo da su iTunes i VLC također napravili ovaj popis.

Obrnuto, prema TechRadaru, Chrome izlazi na vrhu za ažurirane aplikacije. Tijekom ispitivanja, 88% korisnika koji koriste Chrome imao je instaliranu najnoviju verziju. To pokazuje kako tiha automatska ažuriranja donose ogromnu razliku u usporedbi s nagonskim uputama za ažuriranje koje koriste Java i Adobe runtimes.

Ne zaboravite previše ažuriranja za OS

Još jedna vitalna komponenta ažuriranja koje treba zapamtiti su ažuriranja za OS. Ne zaboravite da su korisnici koji su instalirali automatska ažuriranja pošteđeni od grozni napad ransomwara sredinom 2017. godine Global Ransomware Attack i kako zaštititi svoje podatkeOgroman cyber-napad napao je računala širom svijeta. Jeste li bili pogođeni izrazito virulentnim samoobnavajućim ransomware-om? Ako ne, kako možete zaštititi svoje podatke bez plaćanja otkupnine? Čitaj više . Čak i ako stalno ažurirate softver poput Java, vaše je računalo i dalje u opasnosti ako ne instalirate ažuriranja za Windows.

Windows 10 olakšava ove automatske nadogradnje Prednosti i nedostaci prisilnih ažuriranja u sustavu Windows 10Ažuriranja se mijenjaju u sustavu Windows 10. Trenutno možete birati i birati. Windows 10, međutim, na vas će nametnuti ažuriranja. Ima prednosti, poput poboljšane sigurnosti, ali može poći i po zlu. Što je više... Čitaj više , ali oni na Windows 7 možda su ih onemogućili. I oni koji i dalje koriste Windows XP gotovo četiri godine nakon završetka životnog vijeka izlažu se velikom riziku.

Koliko je zapravo opasna Java?

Možemo li ipak reći da je Java najveći sigurnosni rizik za stolna računala? Ne baš. S negativne strane, ljudi i dalje nastavljaju s pokretanjem zastarjelih verzija Jave iako im zapravo ne trebaju. To im otvara sigurnosne ranjivosti. No, budući da većina preglednika više ne podržava Javu, nisu otvoreni za napad kao nekada.

Slaba veza u sigurnosti vašeg računala dolazi od najpopularnijeg softvera koji ne ažurirate. Ako imate najnoviju verziju Java, ali je još uvijek nemate deinstalirao je nepodržani QuickTime za Windows, to je veliki rizik. Imajući zastarjelu verziju Flasha, Adobe Reader-a ili iTunes-a može vas otvoriti i napad.

trenutno raspoloženje: uskraćivanje ažuriranja softvera 18 mjeseci, a alat za preuzimanje zastario je

- moljac (@ 13_moths) 12. veljače 2018

Iz gornjih podataka možemo saznati kako su programi bez automatskog ažuriranja obično najmanje sigurni. Na primjer, iTunes stalno traži od korisnika da se ažuriraju, što je neugodno. To navodi ljude da ignoriraju ažuriranja i ostave nesigurnu verziju instaliranu.

Što je s Macom i Linuxom?

Gore smo se fokusirali na Javu za Windows, ali vrijedi brzo spomenuti kako to utječe i na Mac i Linux korisnike.

Iznenađujuće, iako Apple ne dopušta da se dodaci pokreću prema zadanim postavkama u Safariju, preglednik i dalje podržava stare dodatke poput Java i Silverlight. Iako biste trebali deinstalirati Javu na Mac računalu, osim ako je potreban iz određenog razloga, Java nije stvorila toliko problema Mac korisnicima kao u Windowsima. U posljednje vrijeme većina sigurnosnih rupa u macOS-u zahvaljujući uvidima samog Applea.

Moram instalirati NetBeans za nešto. Verzija Mac isporučuje se kao instalacijski paket (!), Što je bila crvena zastava. Ali tada je želio da instaliram Javu ...

Ne. Nope nope nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 je sranje (@_nulldragon) 8. veljače 2018

Linux nije vidio ni jedinstvene Java ranjivosti. Ako vam treba preglednik koji podržava Java na Linuxu, možete isprobati ESR (Extended Support Release) verzija Firefoxa. Firefox nudi ovu verziju za poslovna okruženja; pruža najnovija sigurnosna ažuriranja, ali čeka duže za uvođenje ažuriranja značajki. Trenutačna verzija, 52, podržava Java i ostale naslijeđene dodatke bit će dostupna do negdje u drugom kvartalu 2018. godine.

Budućnost bez dodataka

Dobra vijest je da vam većina toga ne treba potencijalno opasni i neugodni dodaci Mislite da je Flash jedini nesigurni dodatak? Razmisli još jednomFlash nije jedini dodatak preglednika koji predstavlja rizik za vašu internetsku privatnost i sigurnost. Evo još tri dodatka koja ste vjerojatno ugradili u svoj preglednik, ali trebali biste ih danas deinstalirati. Čitaj više instalirani više. Vrlo malo web stranica koristi Javu i glavni program koji su ljudi držali na Javi instaliranom - Minecraft -sad uključuje sigurnu paketnu verziju Java Kako instalirati potpunu verziju Minecrafta na Linux računaloMinecraft je jedna od najvećih igara na svijetu, a radi na gotovo svim platformama. Želite da se pokrene na vašem Linux računalu? Pokazat ćemo vam kako. Čitaj više . Nisu potrebni i ostali dodaci. Microsoft je zastario Silverlight prije mnogo godina, a vi ćete biti tvrdo pritisnuti da pronađete stranicu sa sadržajem Shockwavea.

Flash je jedina iznimka Die Flash Die: U tijeku je povijest tehnoloških tvrtki koje pokušavaju ubiti FlashBljeskalica je već dugo u opadanju, ali kada će umrijeti? Čitaj više . Većina preglednika i dalje ga podržava zbog svoje popularnosti, ali Adobe će ga ubiti 2020. godine. Do tada vodite računa da ažurirate Flash na računalu. Chrome to radi automatski, tako da ga možda više nećete instalirati (što je izvrsno).

Ukratko: Java je još uvijek nesigurna, ali predstavlja manji rizik zahvaljujući preglednicima koji ih onemogućuju. Deinstalirajte programe koji vam nisu potrebni (uključujući stare dodatke), ažurirajte softver na računalu i primjenjujte ažuriranja za OS. Ako to učinite, bit ćete dobro.

Kreditna slika: avemario /Depositphotos