Еще одно Java нулевого дня утверждал, - но на этот раз вы смеетесь, не так ли?

Неудержимый следователя киберпреступностью и журналист Брайан Кребс написал о еще одном Java нулевого дня подвига.

Этот, кажется, нацелен использование уязвимости даже в Oracle в последний релиз , версия 7 Update 11, также известный как 7u11.

Подробная информация о подвиге отрывочны, потому что преступный мир играет эта очень близко к своей груди.

По Krebmeister, брокер, который был использовать на продажу планируется продать ее просто два разных покупателей, нежели лизинг или предлагает его в широких пределах:

Идея предельное распределение очевидно: чем меньше подвиг доставки сайтов, которые на самом деле служат до подвиг, тем больше времени потребуется, чтобы стало широко известно, и чем дольше это продлится, прежде чем приобрел, расчлененные и исправлены.

Недостатком к уголовной кто брокерской продажи, конечно, является то, что он ограничивает его рынка, хотя, доверяя двумя товарищами-преступники он работает двойной риск того, что его ценные владения будете проданы в любом случае.

Похоже, что второй покупатель пришел из дерева, потому что Кребс сообщает, что продажи шагом в дальнейшем исчезли из подземных форум, на котором он был первоначально опубликован.

Значение продавец возлагает на этот подвиг звучит немного низко для меня: он ожидает общий доход всего $ 10.000 для надежного, рабочего и текущие Java нулевого дня. (Я не хочу звучать, как будто я думаю, что киберпреступностью является бойким и будничное. Я просто подумал, что он мог бы попросил и получил больше).

Есть много возможных причин этого значения, не менее важно, что я плохо информированы о конкурентного ценообразования в метро, ​​и два из них интересна весной на ум:

• Существует не новый подвиг. Или это не очень хорошо. Это просто заводной.
• Широкое освещение новостей рекомендовать, что вы выключите Java толкает вниз цены.

Будем надеяться, что причина последнего.

В своей превосходной новой технической бумаги на Blackhole Exploit Kit , SophosLabs исследователь Габор Szappanos опубликовал доклад развить успех от живого сервера Blackhole:

Szappi задавался вопросом, был ли некоторый фактор уязвимости комплекта в том, что благоприятствования Java как вектор.

Возможно, например, на компьютер уязвимым для нескольких эксплойтов, Java можно вызвать быстрый, и, таким образом, более широко представлены в отчетах?

Возможно смещение в коде пакета эксплойтов означает, что другие подвиги были осуждены реже, тем самым давая Java несправедливо большой кусок на вишню?

Но это был не тот случай. Чтобы процитировать Szappi себя :

После оценки кода выяснилось, что [было никакой предвзятости]. Blackhole набор эксплойтов является справедливой с отдельными функциями подвиг и не в пользу какой-либо одной из них ... Так что я остался с единственной оставшейся объяснение: исправления безопасности Java не устанавливается. Пользователи не считают Java прямая угроза, и не спешить с обновлением своих систем.

И это номер один вызов безопасности в отношении веб-угроз: создание пользователи понимают, что Java является сейчас самым слабым местом. И это в значительной степени под угрозой.

Луч надежды заключается в том, что он писал эти слова еще в декабре 2012 года, до последней вспышки " поворот Java с советами.

Будем надеяться, что советы окупается.

Всеми средствами установить Java. (У меня для Android исследований и разработок, например.) Но он постоянно в актуальном состоянии, как и любое другое программное обеспечение.

Всеми средствами включить Java в Вашем браузере, если это ваш осознанный выбор. (У меня заблокирована из моих браузеров, я просто не использовать любые сайты, которые требуют этого.) Но не включайте его, если вы действительно в ней нуждается.

Я не придираться Oracle или на Java здесь.

Этот совет для любого программного обеспечения или плагин для браузера, вам не нужны.

Как избавиться от функциональности вы не используете имеет модный название "сокращение атаку площадь поверхности", и это действительно работает.

Я процитировал г-н Miagi, из фильма The Karate Kid , и раньше, и я не сомневаюсь, я буду цитировать его еще раз: ". Лучший способ избежать удара - не быть там"