セキュリティウォッチ 別のJavaゼロデイが見つかりました。そのブラウザプラグインをダンプします

別のJavaゼロデイが見つかりました。そのブラウザプラグインをダンプします

ビデオ: 株式会社博展 - 東芝実績動画 (十一月 2024)

ビデオ: 株式会社博展 - 東芝実績動画 (十一月 2024)
Anonim

研究者はJavaのゼロデイ脆弱性をさらに発見し、攻撃者は現在Javaを悪用しています。

セキュリティ上の欠陥が引き起こされると、FireEyeの2人の研究者であるJava仮想マシン、Darien KindlundとYichong Linの任意のメモリの読み書きが木曜日にFireEye Malware Intelligence Labブログに投稿されました。 成功すると、攻撃コードはMcRATドロッパーと情報を盗むトロイの木馬を被害者のコンピューターにダウンロードします。 これは、最近見た他のいくつかの欠陥とは異なるタイプの欠陥です。

FireEyeは、Javaを有効にしたブラウザに対する攻撃を複数の顧客が見ていると述べました。 FireEyeによると、セキュリティの欠陥はJava v.1.6 Update 41と2月19日にリリースされたばかりの最新のJava v1.7 Update 15にあります。 研究者はすでにOracleの脆弱性を開示しています(CVE-2013-1493)。 現在、他の情報はOracleから入手できません。

より多くのゼロデイ

FireEyeの研究者は、この投稿のタイトル「YAJ0:Yet Another Java 0-Day」で一般的な感情をうまくまとめています。Javaは長い間人気のある攻撃対象でしたが、Javaゼロデイの悪用が悪用されているようです過去2か月間、荒野で。 他の企業で見たのと同じ猫とマウスのゲームです。 ゼロデイが見つかった場合、会社がパッチを適用し、新しいゼロデイが見つかりました。 洗い、すすぎ、繰り返します。

オラクルは、パッチを予定外にリリースすることに消極的であることで有名ですが、バグが非常に深刻だったため、過去1年間にいくつかの緊急アップデートをリリースしました。 同社は2月19日に予定されているアップデートをリリースしましたが、このバグがさらに別の緊急パッチを引き起こす可能性があります。

オフにするか、制限する

メリーゴーランド全体にうんざりしていて、飛び降りる方法が必要ですか? ブラウザでJavaをオフにします。 プラグインを無効にします。 Javaを無効にする方法を示します。 あなたは仕事や学校の目的でJavaを必要とし、ブラウザでJavaをオフにできない多くの人の1人ですか?

これがあなたにできることです。 デフォルトのプライマリブラウザでJavaを無効にします。 最も頻繁に使用するブラウザにはJavaを使用しないでください。 そして、あまり頻繁に使用しないブラウザーをインストールします(ほとんどの人は通常、コンピューターに複数のブラウザーをインストールしています)。その中でJavaを有効にします。 ただし、ここで重要なことは、Javaを実行する必要のある少数のサイト以外のサイトにそのブラウザーを使用しないでください。 Blackboardを使用する必要がありますか? Javaブラウザーを起動します。 Blackboardセッション中に言及された何かを調べる必要がありますか? クリックする代わりに、リンクをコピーし、デフォルトのブラウザを起動して、貼り付けます。

それは多くの余分なステップを追加し、私はそれが途方もなく迷惑であることを伝えることができます。 しかし、私は水飲み場攻撃で打撃を受ける可能性を減らしていることを知って、より安全だと感じています。 Facebook、Twitter、Microsoft、Appleのすべてのモバイル開発者について考えてください。 彼らは、Javaが有効になっていて侵害されたブラウザーを使用して、iOS開発者Webサイト(おそらく、仕事を考慮して定期的にアクセスしたサイト)を訪問しました。

イライラしている場合は、次のステップを実行します。これは、会社にJavaの使用をやめるよう圧力をかけることです。 ソフォスのChester Wisniewski氏は今週のRSAカンファレンスで「WebサイトがJavaアプレットを使用する理由はもうありません」と語った。 別の製品への切り替えを開始するようITに圧力をかけることができます。 顧客として、ベンダーにJava以外の代替案を考案するよう指示することができます。あるいは、サブスクリプションまたは契約を更新するときが来たら、キャンセルして別の製品に移動します。 お金の話。

Wisniewskiは、Javaを軽くオフにすることを推奨する決定を下さなかったと言いました。 彼は影響を慎重に検討し、現時点ではそれが最も安全なことであるという結論に達しました。

別のJavaゼロデイが見つかりました。そのブラウザプラグインをダンプします