存在漏洞的Java及Flash版本使用者众多

众所周知的是Java和Flash历来被攻击者所青睐,这多亏了它们巨大的装机量和众多的安全问题。但与此同时被攻击者所定为目标的用户们却没有这么乐观,如最新的数据显示只有19%的商业客户运行着最新版本的Java程序,同时也有25%的用户运行着至少6个月以前的Flash版本。

这些被Websense于8月份历时4周所采集的数据,勾勒出了一幅对于攻击者来说非常乐观的画面。浏览器插件以及扩展应用如Java和Flash已经成为攻击者非常乐于攻击的目标,这不仅仅是由于漏洞利用程序的普遍性,也由于很多的用户不常更新这些程序。在大多数情况下操作系统和浏览器会设定为自动更新,这一举措将安全管理的权利从用户的手里剥夺出来。但是这通常不适用于浏览器的插件。用户需要自行去安装最新版本的插件,而通常用户是不愿意劳神去做这些事情的。

这种松懈的安全态度正迎合了攻击者的需求,因为手中的漏洞大量适用于过去的软件版本,并且最新版本中这些漏洞通常已经被修补了。然而,攻击者也不会放过最新的漏洞(如果它们可用的话)。最近,研究者发现了两个最新的Java漏洞出现在了Neutrino Exploit Kit中。

“新的Java漏洞CVE-2013-2473和CVE-2013-2463已经针对运行着过时版本Java的机器产生了巨大影响,很明显网络上的攻击者了解很多组织中存在Java的升级问题”,Websense的Matthew Mors在一份分析报告中写到。

“40%的Java 6用户对于这些漏洞来说是易受攻击的,并且目前并没有出现有效的补丁程序。一些有效的漏洞工具分发套件,如Neutrino,以及以Java 6为目标的尚无补丁存在的漏洞对于没有升级到Java 7的组织来说是一次挑战。”

安全研究员已经严厉批判了Oracle近些年对于Java安全不甚注意的态度,但是如果用户在更新可用时仍不将软件升级到最新版本,这无异于火上浇油。

Flash用户同样没有快速地进行升级的习惯,这是一个非常巨大的问题,尤其是当你考虑到Flash在全世界的装机量高于任何其他软件时。事实是40%的Flash用户正运行着过时的、易受攻击的软件版本,这一现状将会使得攻击者们的生活更加轻松愉快。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-09-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏QQ会员技术团队的专栏

海量服务实践──手Q游戏春节红包项目设计与总结

1. 需求背景 1.1.红包类别 2017年的手Q春节游戏红包共有刷一刷/AR地图/扫福三种,如下图所示: ? 1.2.体验流程 虽然红包分三种,但在游戏业务...

28680
来自专栏CSDN技术头条

常用物联网应用协议汇总

本文罗列下市面上物联网通信中的各类消息技术-即工作在网络通信的应用层协议,总结下它们各自特点、特定的物联网应用场景等。 这类协议都直接用于在无线或有线网络环境下...

37790
来自专栏我的安全视界观

【业务安全】业务安全之另类隐患

接收到提测邮件后,安全测试人员首先对已知漏洞在测试环境进行验证。使用burp对登录接口进行枚举验证:

14720
来自专栏用户2442861的专栏

Java调用ffmpeg工具生成视频缩略图实例

 FFmpeg是一个开源免费跨平台的视频和音频流方案,属于自由软件,采用LGPL或GPL许可证(依据你选择的组件)。它提供了录制、转换以及流化音视频的完整解决方...

46910
来自专栏腾讯架构师的专栏

让互联网更快的协议,QUIC 在腾讯的实践及性能优化

本文将主要介绍 QUIC 协议在腾讯内部及腾讯云上的实践和性能优化。

1.2K80
来自专栏吴逸翔的专栏

海量服务实践:手 Q 游戏春节红包项目设计与总结(下篇)

本篇文章接上篇,主要讲解了手 Q 游戏春节红包项目系统保障、演戏验证和总结三个部分。团队从系统容灾/过载保护/柔性可用/立体监控方面做的一些工作,为了保障项目顺...

71300
来自专栏黑白安全

物联网厂商 CalAmp 服务器配置错误,黑客可盗窃数据、接管车辆

安全研究人员发现,CalAmp(一家为多个知名系统提供后端服务的公司)运营的一台服务器因为错误配置,黑客可借助该漏洞接入账号数据,甚至直接接管相关车辆。

9030
来自专栏腾讯大数据的专栏

拿什么保护你---TDW数据安全

互联网时代,大数据扮演着极为重要的角色;腾讯作为中国最大社交平台,具备最具权威、代表性的互联网大数据。数据平台部TDW作为公司级的海量数据存储和计算平台,集中了...

25980
来自专栏七夜安全博客

(原创)逆向某停车app

16460
来自专栏腾讯移动品质中心TMQ的专栏

边开发边测试--故事从闹钟讲起

你开发过alarm相关的应用吗? 你测试过alarm相关的应用吗? 如果答案是肯定的,建议看官停下来拍拍砖。 手机管家新年运营功能有一个招牌:红包闹钟。 功能发...

29090

扫码关注云+社区

领取腾讯云代金券