报告:所有战功的一半目标Java

报告:所有战功的一半目标Java

曾几何时,微软的恶意软件开发者的喜爱的目标。由于微软改进了防御在其软件,不过,网络犯罪分子转移到更容易采摘。A […]

2014-03-08

曾几何时,微软的恶意软件开发者的喜爱的目标。由于微软改进了防御在其软件,不过,网络犯罪分子转移到更容易采摘。Adobe是一会儿的主要目标,但是Adobe跟随微软的领导,并提出其软件更安全的为好。根据从2014年IBM X-FORCE威胁智能季报数据,最喜欢的对象是现在的Java。
有两件事情是把靶心上的应用程序或平台。第一种是分布。攻击者可能能够开发一个利用的是勉强可以用一些模糊的软件,但会是什么呢?如果一个恶意软件开发者将要投入时间和精力来创建一个漏洞,他或她想要它有潜在受害者的最大可能的池。
第二个因素是游刃有余。大多数恶意软件开发者懒惰成性。有没有这样的事情完全无懈可击的代码,但没有一点在敲打你的头撞墙试图揭开一些模糊的脆弱性和赴汤蹈火,绕过安全控制,这样的攻击将正常运行。简单的解决方案是针对攻击的软件更明显的弱点和更少的安全控制。
Oracle的Java非常适合您。在Windows,Mac OS X,Linux和移动平台发现,Java是几乎无处不在。虽然微软和Adobe已经构建防御阻止恶意软件的开发商,似乎甲骨文目前还没有看到光。
Trusteer的,IBM的公司报告说,一半在2013年12月观察到的所有攻击均针对Java的。Adobe Reader的排在一个遥远的第二位,22%,而IE浏览器,谷歌Chrome,和一切做起来的余数。 
一个从Trusteer的博客文章解释了为什么Java是如此具有高度针对性的恶意软件开发者:“Java是一个公开的组织,以先进的袭击高风险的应用程序它可以被利用来传播恶意软件,并危及用户的机器诸多漏洞一旦上了。端点,这是非常困难的,以防止其恶意执行“。
与Java的问题比它本身是脆弱的软件更深。因为Java自身的虚拟环境(Java虚拟机,或JVM)中运行,一个利用刚刚已经打破了Java安全模型,以执行恶意代码。由于利用的是在应用层面,像DEP和ASLR技术标准的Windows安全控件不提供任何保护。
Trusteer的承认,Java是必需的许多企业和个人。为了防止恶意的Java和漏洞,Trusteer的建议执行限制只知道,信任的Java文件。对于小企业和个人,不过,说起来容易,做起来难。
为了保护自己,确保您申请Java的所有安全更新。我们希望,甲骨文将很快得到消息并开发更安全的代码和更及时地发布安全补丁。在此期间,要知道,Java在您的安全链条中的薄弱环节。