Почему Java теперь представляет меньшую угрозу безопасности в Windows, Mac и Linux

Java, которая когда-то была жизненно важным компонентом сети, за последние несколько лет приобрела популярность. Большинство современных браузеров по умолчанию блокируют Java, и большинству домашних пользователей больше не нужно его устанавливать.

Мы давно слышали, что Java является единственным наиболее небезопасным программным обеспечением для настольных компьютеров, особенно для Windows. Но так ли это до сих пор? Давайте копаться и узнавать.

Исторические проблемы с Java

Основная причина того, что Java стала такой популярной целью для атак, заключается в том, насколько широко она распространена. Поскольку Java была разработана для максимальной совместимости, она работает на множестве устройств. В дополнение к компьютерам Java поддерживает Blu-ray плееры, принтеры, системы оплаты парковки, лотерейные устройства и многое другое. Это противоположность безопасности через неизвестность : главная платформа обеспечивает наилучшую отдачу от атаки.

Конечно, мы имеем дело с Java на рабочем столе. И самое страшное в том, что Java не обновляется автоматически. В отличие от большинства других современных программ, Java просто просит пользователя установить обновления при их наличии. Еще хуже то, что по умолчанию Java проверяет наличие обновлений только раз в неделю или даже раз в месяц. Это опасно для приложения с таким количеством уязвимостей.

Многие люди видят запрос на обновление и игнорируют его, в результате чего они запускают устаревшую версию Java. А поскольку регулярно предлагаются новые версии, даже те, кто устанавливает некоторые обновления, могут разочароваться и игнорировать дальнейшие. В некоторых случаях, даже когда пользователи устанавливают новую версию, они также оставляют установленную старую копию Java. Это расширяет их уязвимость для атаки.

Конечно, мы не можем забыть давнюю сагу Java о включении ужасной панели инструментов Ask . Каждый раз, когда вы устанавливали или обновляли Java, вам приходилось не снимать флажок, иначе он включал бы этот мусор. Хотя это и не подвиг, это оставило неприятный вкус во рту пользователей.

Современная Ява

Так вот, что было не так с Java в прошлом, но как насчет недавно?

В октябре 2017 года Veracode обнаружил [Больше не доступно], что 88 процентов Java-приложений содержат как минимум один уязвимый компонент. В начале 2016 года Oracle объявила, что даже установщик Java был уязвим . Если злоумышленник поместит файл DLL с определенным именем в папку «Загрузки», он вызовет заражение при запуске установщика Java. И вообще, из-за популярности Java вам нужно будет только посетить взломанный сайт, который воспользовался вашей устаревшей копией Java для заражения.

Хотя это означает, что Java далеко не безопасна, есть и хорошие новости. В начале 2016 года Oracle объявила, что планирует отказаться от плагина Java-браузера (который является источником большинства проблем) в JDK 9, который доступен сейчас. Современные браузеры также оставили Java. Chrome прекратил поддержку Java в конце 2015 года, а Firefox прекратил его поддержку в начале 2017 года. Браузер Microsoft Edge, включенный в Windows 10, вообще не поддерживает Java .

Это означает, что если вам действительно нужно использовать Java в браузере, вам придется придерживаться Internet Explorer.

Самые большие уязвимости

Поскольку популярность Java падает, что заняло свое место в качестве самого небезопасного программного обеспечения для настольных ПК?

Последние данные Flexera за первый квартал 2017 года показывают, что 7,8% программ в среднем на ПК достигли конца своей жизни. Он входит в десятку самых уязвимых программ, основываясь на доле рынка, умноженной на процент пользователей, которые не были исправлены:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle для ПК 1.x
8. Adobe Acrobat Reader DC 15.x
9. Utorrent 3.x
10. iCloud для Windows 6.x

Этот список может вас удивить. Хотя Java не самая рискованная программа, она все же вторая. Другие программы, которые мы обычно не связываем с рисками безопасности, такие как VLC и Malwarebytes, тоже имеют место. Это свидетельствует о важности обновления всего программного обеспечения, а не только популярных.

Мы можем увидеть больше, изучив отчет по безопасности Avast за третий квартал 2017 года . В нем перечислены 10 самых устаревших программ на компьютерах пользователей:

1. Java 6, 7 и 8
2. Adobe Air
3. Adobe Shockwave
4. VLC Media Player
5. Itunes
6. Fire Fox
7. 7-Zip
8. WinRAR
9. QuickTime
10. Adobe Flash Player

Когда вы включаете более старые версии, кажется, что Java все еще возглавляет наименее обновленное программное обеспечение. Плагины Adobe также являются крупными виновниками, и мы видим, что iTunes и VLC также составили этот список.

И наоборот, согласно TechRadar , Chrome выходит на первое место по обновленным приложениям. При опросе 88% пользователей, использующих Chrome, установили последнюю версию. Это показывает, как бесшумные автоматические обновления имеют огромное значение по сравнению с ноющими запросами на обновление, используемыми средами исполнения Java и Adobe.

Не забывайте обновления ОС слишком

Запомните еще один важный компонент обновления — обновления ОС. Помните, что пользователи, у которых были установлены автоматические обновления, были защищены от ужасной атаки вымогателей в середине 2017 года вымогателей Даже если вы постоянно обновляете программное обеспечение, такое как Java, ваш компьютер все еще находится в опасности, если вы не устанавливаете обновления Windows.

Windows 10 упрощает эти автоматические обновления. , но пользователи Windows 7 могли их отключить. А те, кто все еще использует Windows XP спустя почти четыре года после ее окончания, подвергают себя серьезному риску.

Насколько опасна Java на самом деле?

Взятые вместе, можем ли мы все же сказать, что Java является самой большой угрозой безопасности для настольных компьютеров? На самом деле, нет. С другой стороны, люди по-прежнему используют устаревшие версии Java, хотя они действительно в этом не нуждаются. Это открывает их для уязвимостей безопасности. Однако, поскольку большинство браузеров больше не поддерживают Java, они не открыты для атаки, как это было раньше.

Слабым звеном в безопасности вашего компьютера является самое популярное программное обеспечение, которое вы не обновляете . Если у вас самая новая версия Java, но вы еще не удалили неподдерживаемый QuickTime для Windows , это большой риск. Если у вас есть устаревшая версия Flash, Adobe Reader или iTunes, то вы тоже можете атаковать.

Из приведенных выше данных мы можем сделать вывод, что программы без автоматических обновлений обычно наименее безопасны. Например, iTunes постоянно просит пользователей обновить, что раздражает. Это заставляет людей игнорировать обновления и оставлять незащищенную версию установленной.

А как насчет Mac и Linux?

Выше мы сосредоточились на Java для Windows, но стоит быстро упомянуть, как это влияет и на пользователей Mac и Linux.

Удивительно, но, хотя Apple не позволяет плагинам запускаться по умолчанию в Safari, браузер по-прежнему поддерживает старые плагины, такие как Java и Silverlight. Хотя вам следует удалить Java на вашем Mac, если вам это не нужно по определенной причине, Java не вызывает столько проблем для пользователей Mac, как в Windows. В последнее время большинство дыр в безопасности в macOS были вызваны упущениями самой Apple .

Linux также не видел уникальных уязвимостей Java. Если вам нужен браузер, поддерживающий Java в Linux, вы можете попробовать версию Firefox для ESR (Extended Support Release) . Firefox предоставляет эту версию для бизнес-сред; он предоставляет последние обновления безопасности, но дольше ждет развертывания обновлений функций. Текущая версия, 52, поддерживает Java и другие устаревшие плагины будут доступны до 2-го квартала 2018 года.

Будущее без плагинов

Хорошей новостью является то, что вам не нужны большинство из этих потенциально опасных и раздражающих плагинов. установлено больше. Очень немногие веб-сайты используют Java, а основная программа, для которой люди сохранили Java, — Minecraft — теперь включает в себя безопасную версию Java. Другие плагины тоже не нужны. Microsoft устарела Silverlight несколько лет назад, и вам будет сложно найти сайт с контентом Shockwave.

Flash — это единственное исключение Большинство браузеров все еще поддерживают его из-за его популярности, но Adobe прекратит его в 2020 году . До тех пор, убедитесь, что вы обновляете Flash на своем ПК. Chrome делает это автоматически, так что вы можете даже не устанавливать его (и это здорово).

Короче говоря, Java все еще небезопасна, но представляет меньший риск благодаря отключению ее браузерами. Вы должны удалить ненужные программы (включая старые плагины), обновлять программное обеспечение на вашем компьютере и устанавливать обновления ОС. Если вы сделаете это, вы будете в достатке.

Кредит изображения: avemario / Depositphotos