存在漏洞的Java及Flash版本使用者众多

安全 漏洞
众所周知的是Java和Flash历来被攻击者所青睐,这多亏了它们巨大的装机量和众多的安全问题。但与此同时被攻击者所定为目标的用户们却没有这么乐观,如最新的数据显示只有19%的商业客户运行着最新版本的Java程序,同时也有25%的用户运行着至少6个月以前的Flash版本。

众所周知的是Java和Flash历来被攻击者所青睐,这多亏了它们巨大的装机量和众多的安全问题。但与此同时被攻击者所定为目标的用户们却没有这么乐观,如最新的数据显示只有19%的商业客户运行着最新版本的Java程序,同时也有25%的用户运行着至少6个月以前的Flash版本。

[[85498]]

这些被Websense于8月份历时4周所采集的数据,勾勒出了一幅对于攻击者来说非常乐观的画面。浏览器插件以及扩展应用如Java和Flash已经成为攻击者非常乐于攻击的目标,这不仅仅是由于漏洞利用程序的普遍性,也由于很多的用户不常更新这些程序。在大多数情况下操作系统和浏览器会设定为自动更新,这一举措将安全管理的权利从用户的手里剥夺出来。但是这通常不适用于浏览器的插件。用户需要自行去安装最新版本的插件,而通常用户是不愿意劳神去做这些事情的。

这种松懈的安全态度正迎合了攻击者的需求,因为手中的漏洞大量适用于过去的软件版本,并且最新版本中这些漏洞通常已经被修补了。然而,攻击者也不会放过最新的漏洞(如果它们可用的话)。最近,研究者发现了两个最新的Java漏洞出现在了Neutrino Exploit Kit中。

“新的Java漏洞CVE-2013-2473和CVE-2013-2463已经针对运行着过时版本Java的机器产生了巨大影响,很明显网络上的攻击者了解很多组织中存在Java的升级问题”,Websense的Matthew Mors在一份分析报告中写到。

“40%的Java 6用户对于这些漏洞来说是易受攻击的,并且目前并没有出现有效的补丁程序。一些有效的漏洞工具分发套件,如Neutrino,以及以Java 6为目标的尚无补丁存在的漏洞对于没有升级到Java 7的组织来说是一次挑战。”

安全研究员已经严厉批判了Oracle近些年对于Java安全不甚注意的态度,但是如果用户在更新可用时仍不将软件升级到最新版本,这无异于火上浇油。 Flash用户同样没有快速地进行升级的习惯,这是一个非常巨大的问题,尤其是当你考虑到Flash在全世界的装机量高于任何其他软件时。事实是40%的Flash用户正运行着过时的、易受攻击的软件版本,这一现状将会使得攻击者们的生活更加轻松愉快。

(原文链接:http://threatpost.com/many-flash-java-users-running-older-vulnerable-versions/102203)

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2010-10-29 13:22:14

2010-03-11 15:07:39

Python编程语言

2010-05-05 14:21:37

Linux系统软件

2018-05-31 09:22:26

2009-10-28 10:09:41

2012-12-04 09:41:00

2010-03-17 15:28:31

Java deadlo

2011-06-29 20:06:25

IT十年技术

2022-05-14 08:05:18

Linux内存管理

2015-10-16 11:36:11

2016-08-05 12:17:58

2015-04-16 09:44:38

苹果银联

2010-01-14 10:45:26

2024-01-22 09:00:00

PythonPyenv开发

2020-10-12 18:44:19

漏洞网络安全攻击

2013-09-09 17:53:03

2009-04-20 08:31:35

GoogleAndroid移动OS

2017-03-13 13:17:53

互联网

2023-12-11 15:26:42

2014-11-27 09:26:23

点赞
收藏

51CTO技术栈公众号