ae text decode on video star | districtseoul
ほとんどのブラウザのインストールでは、Javaプラグインの、セキュリティベンダーのWebsenseが発表した統計によると、最近普及しているWeb攻撃ツールキットで使用されている攻撃を利用しています。これらのシステムにインストールされ、Webブラウザから使用可能なJavaバージョンを検出します。 Websenseは、ビジネス向けのWebおよび電子メールゲートウェイセキュリティ製品を提供していますが、Facebookと提携して、ソーシャルネットワーキングサイトのユーザーが悪意のあるコンテンツをクリックしたリンクをスキャンしています。
Websenseによって収集されたJavaテレメトリーデータは、 Java対応ブラウザには、Java 7 Update 17(7u17)およびJava 6 Update 43(6u43)がインストールされた最新のソフトウェア・ブラウザ・プラグインがインストールされています。これらの2つのバージョンは3月4日にリリースされ、当時のアクティブな攻撃で既に悪用されていた脆弱性に対処しています。
[詳細を読む:Windows PCからマルウェアを削除する方法]
Websenseによると、その脆弱性を悪用した攻撃は、サイバー犯罪者が悪意のあるWebサイトにアクセスしたときにコンピュータをマルウェアで感染させる大量のドライブバイダウンロード攻撃を開始するために使用するWeb攻撃ツールキットであるCool Exploit Kitに組み込まれています。Cool Exploit Kit月額10,000ドルの購読を必要とする-end攻撃ツールキットであるため、多くのサイバー犯罪者がそれを買う余裕がないという論拠があります。しかし、Websenseのデータによると、多数のJava対応ブラウザのインストールは、より安価で広範囲なエクスプロイトキットで使用されているエクスプロイトに対して脆弱であることが示されています。
たとえば、Java対応のブラウザインストールの約71% RedKit、CritXPack、Gong Da、Blackhole 2.0の4種類のWeb攻撃ツールキットに現在含まれている古いエクスプロイトに変更されています。このエクスプロイトは、2012年8月にオラクルがパッチを当てたCVE-2012-4681という脆弱性を標的にしています。
WebsenseでスキャンされたJava対応ブラウザの75%以上が、6ヶ月以上経過したJavaプラグインバージョン古いもので、2/3近く近くが1年以上前のバージョンを使用していました。これらのブラウザのユーザーは、Javaアプレットがデフォルトで確認せずにブラウザ内で実行されるのを防ぐJava 7 Update 11でOracleが導入したセキュリティ制御の恩恵を受けることはありません。
Javaでは、ゼロデイ攻撃Websenseのセキュリティ研究者はブログの記事で、以前は一般に知られていなかった脆弱性を悪用した攻撃が全面的に注目されるべきではないと述べています。
他のセキュリティ専門家はこれまで、 ChromeやFlash Player、Adobe Readerなど、GoogleやAdobeのようなサイレントな自動アップデートのオプションを提供することで、Javaアップデートの採用率を高めることができます。サイレントソフトウェアのアップデートは企業環境では一般的ではありません。パッチはシステムに導入する前に互換性と安定性の問題をテストする必要がありますが、実装されていればコンシューマースペースでのJavaバージョンの断片化を軽減するのに役立ちます。