freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

存在漏洞的Java及Flash版本使用者众多
2013-09-12 09:18:40

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。


    众所周知的是Java和Flash历来被攻击者所青睐,这多亏了它们巨大的装机量和众多的安全问题。但与此同时被攻击者所定为目标的用户们却没有这么乐观,如最新的数据显示只有19%的商业客户运行着最新版本的Java程序,同时也有25%的用户运行着至少6个月以前的Flash版本。

    这些被Websense于8月份历时4周所采集的数据,勾勒出了一幅对于攻击者来说非常乐观的画面。浏览器插件以及扩展应用如Java和Flash已经成为攻击者非常乐于攻击的目标,这不仅仅是由于漏洞利用程序的普遍性,也由于很多的用户不常更新这些程序。在大多数情况下操作系统和浏览器会设定为自动更新,这一举措将安全管理的权利从用户的手里剥夺出来。但是这通常不适用于浏览器的插件。用户需要自行去安装最新版本的插件,而通常用户是不愿意劳神去做这些事情的。

    这种松懈的安全态度正迎合了攻击者的需求,因为手中的漏洞大量适用于过去的软件版本,并且最新版本中这些漏洞通常已经被修补了。然而,攻击者也不会放过最新的漏洞(如果它们可用的话)。最近,研究者发现了两个最新的Java漏洞出现在了Neutrino Exploit Kit中。

    “新的Java漏洞CVE-2013-2473和CVE-2013-2463已经针对运行着过时版本Java的机器产生了巨大影响,很明显网络上的攻击者了解很多组织中存在Java的升级问题”,Websense的Matthew Mors在一份分析报告中写到。

    “40%的Java 6用户对于这些漏洞来说是易受攻击的,并且目前并没有出现有效的补丁程序。一些有效的漏洞工具分发套件,如Neutrino,以及以Java 6为目标的尚无补丁存在的漏洞对于没有升级到Java 7的组织来说是一次挑战。”

    安全研究员已经严厉批判了Oracle近些年对于Java安全不甚注意的态度,但是如果用户在更新可用时仍不将软件升级到最新版本,这无异于火上浇油。

    Flash用户同样没有快速地进行升级的习惯,这是一个非常巨大的问题,尤其是当你考虑到Flash在全世界的装机量高于任何其他软件时。事实是40%的Flash用户正运行着过时的、易受攻击的软件版本,这一现状将会使得攻击者们的生活更加轻松愉快。

    (原文链接:http://threatpost.com/many-flash-java-users-running-older-vulnerable-versions/102203)

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 安全资讯 # flash # java
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦