Requisitos Checklist para escolher um Cloud Backup e Recovery Service Provider
A maioria das redes corporativas estão crivadas de instalações Java vulneráveis, de acordo com um novo estudo, cujo lançamento coincide com a descoberta de uma outra falha Java 0-day.
Menos de um por cento das organizações estão executando a versão mais recente do Java, de acordo com um estudo realizado pela empresa de software de segurança Bit9. A versão mais frequentes de Java rodando em endpoints é a versão 6 update 20, encontrada em 9 por cento dos sistemas e sujeitos a 96 vulnerabilidades de alta gravidade.
A empresa média tem mais de 50 versões do Java instalado em seus PCs e servidores, enquanto cinco por cento dessas empresas têm mais de 100 versões do Java instalado.
Isso cria uma miscelânea de vulnerabilidades mofados para hackers de banquetear-se. Pelo menos parte da razão para este triste estado de coisas é que a instalação do Java e do processo de atualização, muitas vezes não remove versões antigas da tecnologia utilizada.
A maioria dos terminais tem várias versões do Java instalado, o que significa que os hackers podem facilmente determinar quais versões do Java uma empresa está em execução antes visando os mais antigos, versões mais vulneráveis. Oitenta e dois por cento dos terminais analisados pela Bit9 estavam rodando a versão 6 séries de Java, que tem as vulnerabilidades mais conhecidas de qualquer versão do Java.
Todos estes fatores tornam Java um hacker e CyberSpy favorito ou a "tecnologia endpoint mais alvo de ataques cibernéticos", como Bit 9 coloca.
O estudo da Bit9, colocados juntos em um relatório intitulado As vulnerabilidades Java: Write Once, Pwn em qualquer lugar, é baseado em uma análise de estatísticas de implementação Java em aproximadamente 1 milhão de terminais em centenas de empresas em todo o mundo.
Oracle só recentemente renovou o processo de atualização do Java para que as versões mais antigas foram expurgados. Mas essas mudanças não fizeram nada por si só para resolver legado ou órfãs instalações de Java, alguns dos quais remontam aos primórdios da computação pessoal, de acordo com a Bit9. Na tentativa de minimizar os problemas de compatibilidade, um legado de insegurança foi criada.
"Durante os últimos 15 anos ou mais, os administradores de TI estão sob o equívoco de que a atualização Java resolveria seus problemas de segurança", explicou Harry Sverdlove, CTO da Bit9. "Eles foram informados de que para melhorar a segurança, eles devem continuamente e de forma agressiva implantar atualizações de Java em todos os seus terminais. Infelizmente, a actualização não é a mesma como a modernização.
"Até muito recentemente, essas atualizações não conseguiram entregar a atualização de segurança prometida por não terem retirado as versões mais antigas, altamente vulneráveis de Java foram destinados a substituir. Como resultado, a maioria das organizações têm várias versões do Java em seus terminais, incluindo alguns que foram lançados ao mesmo tempo que o Windows 95 ", acrescentou.
Classificando a confusão envolve pegar o equivalente a uma auditoria de emergência de segurança cibernética. As empresas devem primeiro avaliar quantas versões do Java está executando antes de decidir se essas versões mais antigas são necessárias por razões comerciais válidas e, em particular, se o Java deve ser executado em browsers.
Várias empresas de segurança rotineiramente aconselhar os consumidores e as empresas para desativar o navegador Java add-ons, que raramente são necessários para navegar na "net mas às vezes necessária para aplicações de internet. Os usuários podem então usar tecnologias de segurança dos gostos de Bit9 e outros para fazer cumprir essas decisões políticas.
Um vídeo com Bit9 CTO Harry Sverdlove discutir o problema Java pode ser encontrada aqui .
Groundhog 0-day
Separadamente, a pesquisa de segurança roupa reivindicação Exploração Segurança baseada Polónia ter descoberto uma falha que contorna a área de segurança no Java 7, expondo sistemas de acolhimento a ataques maliciosos. Adam Gowdiak, diretor executivo e fundador da Explorations de segurança, explicou que a falha em um cargo em uma Full Disclosure mailing list.
Explorações de Segurança criou uma prova-de-conceito exploit código PoC código de exploração que faz o negócio contra o Java SE 7 Atualização de 25 e anteriores. A vulnerabilidade surge por causa de falhas no Reflection API (interface de programação de aplicativos), uma tecnologia que estreou em Java 7 SE e que tem sido a fonte de problemas de segurança anteriores envolvendo a versão mais recente da tecnologia de software freqüentemente abusada.
O resultado é que a última versão do Java pode ser atacado por tipos de ataque que são mais de 10 anos de idade, de acordo com Gowdiak, que bateu com a Oracle para permitir a meio-caminho para um ataque tão bem conhecido, que ele defende ainda que deve ter foi fácil de defender.
"Se a Oracle teve quaisquer procedimentos de garantia de segurança de software adotados para Java SE, a maioria das falhas simples API de reflexão junto com um conhecido, 10 + anos de idade ataque deveria ter sido eliminado antes de Java SE 7 release. Isso não aconteceu, assim é razoável supor que as políticas e procedimentos de segurança da Oracle são ou não vale muito, ou a sua aplicação está longe de ser perfeito. "
Gowdiak de encontrar significa que o contador de zero-day Java foi reajustado nesta quinta-feira, mais uma vez. Oracle é ainda para responder a descoberta de Gowdiak, por isso é claro se e quando uma correção poderia tornar-se disponível. O gigante segurança último liberado um lote de atualizações do Java em junho (detalhes aqui ) ea próxima atualização programada não é devido até outubro. ®
Nenhum comentário:
Postar um comentário