扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNet至顶网软件频道消息 Java越来越多地被视为安全风险所在,最近一些著名的的攻击事件,更成为这一趋势的证明。Java安全风险的核心问题在于:安全漏洞太多,浏览器很难同步更新到最新版本,特别是Java本身的更新是独立于浏览器的。最近,Websense(NASDAQ: WBSN)安全实验室的专家将Java版本检测功能添加到了ACE(高级分类引擎)产品中,并将其引入Websense ThreatSeeker®网络,以便实时探测在数以千万计的终端上有效使用的Java版本。以下就是获得的结果(见图1)。
截图1:基于有效浏览器使用的Java运行时环境版本全球分布
由上可见,各种版本的Java都出现在了图表中,而目前最新版本的Java运行时环境(1.7.17)的整体使用率只有5%。大部分的版本已过时数月乃至数年。那么这又是如何转化为攻击空间的呢?
漏洞攻击工具包是用于散布Java安全威胁的常见工具。Websense安全实验室通过Websense 威胁搜索网络对数十亿计的日常Web请求进行了分类,厘清了哪些有效浏览器请求是可以被利用的,哪些已经被漏洞攻击工具包所采用。
结果也许并不出人意料:最大的安全漏洞恰恰就是最近被使用过的那个,这在93.77%的浏览器上都是如此。攻击者是这样做的——研究攻击目标的安全控制措施,并找到最简单的方法绕过这些安防措施。运用最新的攻击工具,对数目相当庞大的易受攻击的浏览器发起预打包式的攻击,对攻击者来说,门槛相当之低。多数浏览器都大范围地存在广为人知的Java安全漏洞,75%以上的在用浏览器版本至少过时6个月了,其中将近三分之二的已经过时一年以上,超过50%的落后至少两年。
如果补丁的更新没有跟上,又将如何阻止攻击呢?考虑到漏洞利用工具包及其更新的复杂与多变性,仅有攻击特征还远远不够。Websense用于防御新型Java漏洞攻击的保护模式是通过分析和实时监测,在此类攻击策略的每一步都主动拦截新的实例。更主要的是,ACE涵盖了所有漏洞攻击工具包/攻击阶段,具有对源自所有主要攻击包的可表达安全威胁的细粒度感知能力,不仅包括安全漏洞,还包括混淆技术,重定向技术以及滴漏式木马文件的再包装。Websense安全专家还提示了其它一些可以阻断恶意软件杀伤链的方法,这些方法可以使得恶意攻击者更难以利用当前IT基础架构的漏洞入侵,包括:
阻止跨网络、电子邮件和移动平台的诱骗,网络钓鱼和其他形式的社交工程攻击所需的实时智能。
Websense专家特别指出,所有以上安全防范建议都值得高度重视,唯有如此,才能有效抵御Java安全攻击。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者