Video: Adobe Flash Zero-Day Vulnerability Exploit (CVE-2018-15982) (Desember 2024)
Para peneliti telah menemukan lagi kerentanan nol hari di Jawa, dan para penyerang saat ini mengeksploitasinya di alam liar.
Kelemahan keamanan, jika dipicu, mengarah ke memori sewenang-wenang membaca dan menulis di Java Virtual Machine, Darien Kindlund dan Yichong Lin, dua peneliti di FireEye, menulis di blog FireEye Malware Intelligence Lab blog Kamis. Jika berhasil, kode serangan mengunduh dropper McRAT dan mencuri informasi Trojan ke komputer korban. Ini adalah jenis cacat yang berbeda dari beberapa yang lain yang telah kita lihat baru-baru ini.
FireEye mengatakan beberapa pelanggannya melihat serangan terhadap browser dengan Java diaktifkan. Cacat keamanan ada di Java v.1.6 Update 41 dan Java v1.7 Update 15 terbaru, yang baru saja dirilis 19 Februari, menurut FireEye. Para peneliti telah mengungkapkan kerentanan terhadap Oracle (CVE-2013-1493). Tidak ada informasi lain yang tersedia saat ini dari Oracle.
Lebih Banyak Hari Nol
Peneliti FireEye merangkum sentimen yang berlaku dengan baik dalam judul posting, "YAJ0: Yet Another Java 0-Day." Sementara Jawa telah menjadi target serangan populer untuk waktu yang lama, tampaknya ada eksploitasi Jawa nol hari yang dieksploitasi di alam liar selama dua bulan terakhir. Ini adalah permainan kucing-dan-tikus yang sama yang kami lihat dengan perusahaan lain. Zero-day ditemukan, perusahaan menambalnya, zero-day baru ditemukan. Cuci, bilas, dan ulangi.
Oracle, perusahaan yang terkenal karena keengganannya untuk merilis patch yang tidak sesuai jadwal, telah merilis beberapa pembaruan darurat dalam satu tahun terakhir karena bugnya sangat serius. Perusahaan merilis pembaruan terjadwal 19 Februari, tetapi kemungkinan bug ini akan memacu patch darurat lain.
Matikan, Atau Batasi
Apakah Anda bosan dengan seluruh komidi putar dan ingin cara untuk melompat? Matikan Java di browser. Nonaktifkan plugin. Kami menunjukkan kepada Anda cara menonaktifkan Java. Apakah Anda salah satu dari banyak, banyak, orang yang membutuhkan Java untuk keperluan kerja dan sekolah dan tidak dapat mematikan Java di browser?
Inilah yang dapat Anda lakukan. Anda menonaktifkan Java di browser utama default Anda. Peramban yang paling sering Anda gunakan tidak memiliki Java sama sekali. Dan kemudian Anda menginstal peramban yang tidak sering Anda gunakan - kebanyakan orang pada umumnya memiliki lebih dari satu peramban yang diinstal pada komputer mereka - dan mengaktifkan Java di dalamnya. Namun, yang penting di sini adalah Anda tidak, tidak pernah, sama sekali tidak pernah, menggunakan peramban itu untuk pergi ke situs lain selain beberapa situs yang Anda perlukan untuk menjalankan Java. Anda perlu menggunakan Papan Tulis? Anda menjalankan browser Java. Anda perlu mencari sesuatu yang disebutkan selama sesi Papan Tulis? Alih-alih mengklik, salin tautannya, jalankan browser default Anda, dan rekatkan.
Ini menambahkan banyak langkah ekstra, dan saya dapat memberitahu Anda bahwa itu sangat menjengkelkan. Tetapi saya merasa lebih aman mengetahui bahwa saya mengurangi peluang terkena serangan lubang air. Pikirkan semua pengembang seluler di Facebook, Twitter, Microsoft, dan Apple. Mereka mengunjungi situs web pengembang iOS (mungkin situs yang mereka kunjungi secara teratur, mengingat pekerjaan mereka) dengan browser yang telah mengaktifkan Java, dan dikompromikan.
Jika Anda cukup jengkel, Anda akan melakukan langkah berikutnya, yaitu menekan perusahaan untuk berhenti menggunakan Java. "Tidak ada lagi alasan untuk Situs Web untuk menggunakan applet Java, " Chester Wisniewski, dari Sophos, mengatakan kepada saya di Konferensi RSA minggu ini. Anda dapat menekan IT untuk mulai beralih ke produk lain. Sebagai pelanggan, Anda dapat memberi tahu vendor untuk membuat alternatif non-Jawa, atau ketika tiba saatnya untuk memperbarui langganan atau kontrak, Anda akan membatalkan dan pergi ke produk yang berbeda. Pembicaraan uang.
Wisniewski mengatakan dia tidak membuat keputusan untuk merekomendasikan mematikan Jawa dengan ringan. Dia mempertimbangkan konsekuensi dengan hati-hati dan sampai pada kesimpulan bahwa pada saat itu, itu adalah hal paling aman untuk dilakukan.