摘要:超过半数JAVA用户的版本已经两年没更新了,这导致了大量因为老的漏洞而被黑客攻击的事情发生。 |
最近几个月黑客们通过JAVA漏洞收货颇丰,一位同为JAVA用户的分析师提出了自己的见解。
超过一半的JAVA用户运行的版本都已经超过两年历史了,根据该分析师源自Websensen安全实验室对超过10亿个端点的监测表明。
75%的用户使用的Java已经有半年或更久没更新了。
尽管甲骨文已经计划在6月18号发布一个关键性的安全更新,但估计更新的人并不会很多,因为有93%的用户连4月份发布的关键安全更新都没有安装。
反病毒软件制造商Avast在3月份的调查也发现了同样的情况。只有4%的Java用户更新到了最新版本。
Avast CTO Ondrej Vlcek表示,“我们已经估计了消费市场比企业市场更糟糕,但却没想到差到只有4%。”
甲骨文并未对此事发表评论。
这让安全社区非常困惑为什么企业都不升级到最新版本防止被黑,但有些公司也有自己的观点。
“很多企业网络内部的应用程序依赖于某些版本的Java,他们已经突破了补丁,”Websense安全实验室市场营销经理鲍勃·汉斯曼说。
“所以很多情况下是故意没升级的”。
Rapid7的安全工程高级经理,罗斯·巴雷特说,甲骨文的更新步骤对于企业而言,也可能是一种导致升级不及时的障碍。
当Java升级程序运行时,它会索取管理员权限,他说。“很多企业都不希望把这些类型的凭据交给其一般用户。”
很多有权限这么做的本地用户在被提示升级时也不会照办。“金融行业和销售行业的一般最终用户都会被告知不要随便点击跟安全有关的东西,所以他们都不会点。”巴雷特说,“即使那些非常依赖Java的组织并不具有支持Java的广泛的企业级修补合理的解决方案。”
由于只有极少数的用户把JAVA更新到最新版本,所以大量没升级的用户很容易成为黑客的攻击目标。
即便是升级过程中短时间的延迟也会对公司造成经济损失。因为恶意应用程序能够快速采取行动。”超过半数的恶意软件可以在感染后的60秒内与控制端通信。
在过去,恶意程序都会等待到凌晨等事件才会去联系控制端(黑客),但如今电脑上各种应用程序对网络的访问都已经不再有延迟了。“他们不再伺机而动了,而是随时进行。”
如果企业需要使用那些已经被发现有漏洞的老版本JAVA,汉斯曼建议他们至少查清他们这些JAVA被用在了哪些地方。“难道他们所有的系统都非要用老版本吗?”
责任编辑:GOCN