מדוע ג'אווה מהווה פחות סיכון אבטחה כעת ב- Windows, Mac ו- Linux

מדוע ג'אווה מהווה פחות סיכון אבטחה כעת ב- Windows, Mac ו- Linux

ג'אווה, פעם מרכיב חיוני ברשת, צנחה בפופולריות שלה בשנים האחרונות. רוב הדפדפנים המודרניים חוסמים את Java כברירת מחדל, ורוב משתמשי הבית לא צריכים להתקין אותו יותר.





שמענו כבר מזמן שג'אווה היא התוכנה היחידה הכי לא מאובטחת עבור מחשבים שולחניים, במיוחד Windows. אבל האם זה עדיין נכון? בואו לחפור ולגלות.



הבעיות ההיסטוריות עם ג'אווה

הסיבה העיקרית לכך שג'אווה הפכה ליעד כה פופולרי להתקפה היא עד כמה היא נפוצה. מכיוון ש- Java תוכנן לתאימות מרבית, הוא פועל על שלל מכשירים. בנוסף למחשבים, Java מפעילה נגני Blu-ray, מדפסות, מערכות תשלום לחניה, מכשירי הגרלה ועוד. זה ההפך מאבטחה באמצעות ערפול: פלטפורמה מרכזית מספקת את התמורה הטובה ביותר להתקפה.





כמובן, אנו מתעסקים ב- Java בשולחן העבודה. ושם, העבירה הגרועה ביותר היא ש- Java אינה מעדכנת את עצמה באופן אוטומטי. שלא כמו רוב התוכניות המודרניות האחרות, Java פשוט מבקשת מהמשתמש להתקין עדכונים כשהיא זמינה. גרוע מכך, כברירת מחדל, Java בודקת עדכונים רק פעם בשבוע או אפילו פעם בחודש. זה מסוכן לאפליקציה עם כל כך הרבה פגיעויות אבטחה.

מחשב נייד מחובר ל- wifi אך אין גישה לאינטרנט חלונות 10

אנשים רבים רואים את הודעת העדכון ומתעלמים ממנה, וכתוצאה מכך הם מריצים גרסה מיושנת של Java. ועם גרסאות חדשות המוצעות באופן קבוע, גם מי שמתקין כמה עדכונים עלול להתסכל ולהתעלם מגירסאות נוספות. במקרים מסוימים, גם כאשר משתמשים מתקינים גרסה חדשה, הם משאירים את העותק הישן של ג'אווה מותקן גם כן. זה מרחיב את הפגיעות שלהם להתקפה.



כמובן שאיננו יכולים לשכוח את סאגת ההכללה ארוכת השנים של ג'אווה סרגל הכלים הנורא של שאל . בכל פעם שהתקנת או עדכנת את Java, היית צריך לזכור לבטל את הסימון של תיבה אחרת היא תכלול את הזבל הזה. למרות שזה לא ניצול, זה הותיר טעם רע בפיהם של משתמשים.

ג'אווה מודרנית

אז זה מה שהיה לא בסדר עם Java בעבר, אבל מה עם לאחרונה?



באוקטובר 2017, Veracode גילה [No Longer Available] כי 88 אחוזים מיישומי Java מכילים לפחות רכיב פגיע אחד. בתחילת 2016 הודיעה אורקל על כך אפילו מתקין Java היה פגיע . אם תוקף יציב קובץ DLL עם שם ספציפי בתיקיית ההורדות שלך, הדבר עלול לגרום לזיהום בעת הפעלת תוכנית ההתקנה של Java. ובכלל, בגלל הפופולריות של ג'אווה, יהיה עליך רק בקר באתר אינטרנט שנפגע שניצל את העותק המיושן שלך של ג'אווה כדי להיות נגוע.

למרות שזה אומר ש- Java רחוקה מלהיות בטוחה, יש גם חדשות טובות. בתחילת 2016, הודיעה אורקל שהיא מתכננת להפסיק את הפלאגין של דפדפן Java (שהוא המקור לרוב הבעיות) ב- JDK 9, הזמין כעת. דפדפנים מודרניים השאירו גם את ג'אווה מאחור. Chrome ירד מהתמיכה ב- Java בסוף 2015, ו פיירפוקס הפסיק לתמוך בה בתחילת 2017. דפדפן Edge של Microsoft, כלול ב- Windows 10, לא תומך בג'אווה בכלל .



המשמעות היא שאם אתה באמת צריך להשתמש ב- Java בדפדפן, יהיה עליך להישאר עם Internet Explorer.

הפגיעות הגדולות ביותר

מכיוון שג'אווה יורדת בפופולריות, מה תפס את מקומה כתוכנת שולחן העבודה הכי לא בטוחה?

הנתונים העדכניים ביותר של Flexera , מרבעון ראשון 2017, חושף כי 7.8% מהתוכניות במחשב הממוצע הגיעו לסוף חייהן. היא מדורגת בין 10 התוכניות החשופות ביותר, בהתבסס על נתח שוק מוכפל באחוז המשתמשים שאינם מתוקנים:

  1. iTunes 12.x
  2. Java 8.x
  3. נגן מדיה VLC 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. קינדל למחשב 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud עבור Windows 6.x

רשימה זו עשויה להפתיע אתכם. למרות ש- Java אינה התוכנית המסוכנת ביותר, היא עדיין השנייה. תוכניות אחרות שאנו בדרך כלל לא מקשרים לסיכוני אבטחה, כמו VLC ו- Malwarebytes, מחזיקות מקום גם כן. זה ממחיש את החשיבות שיש לעדכן את כל התוכנות שלך, לא רק את התוכנות הפופולריות.

נוכל לראות יותר על ידי בחינה דוח האבטחה של Avast לרבעון השלישי 2017 . הוא מפרט את 10 התוכניות הכי מעודכנות במחשבי המשתמש שלה:

  1. Java 6, 7 ו- 8
  2. Adobe Air
  3. Adobe Shockwave
  4. נגן מדיה VLC
  5. iTunes
  6. פיירפוקס
  7. 7-זיפ
  8. WinRAR
  9. זמן מהיר
  10. נגן הפלאש של Adobe

כשאתה כולל את הגרסאות הישנות יותר, נראה ש- Java עדיין נמצאת בראש התוכנות הפחות מעודכנות. התוספים של אדובי הם גם אשמים גדולים, ואנו רואים ש- iTunes ו- VLC ערכו גם את הרשימה הזו.

לעומת זאת, על פי TechRadar , Chrome יוצא מעולה לאפליקציות מעודכנות. כאשר נבדקו, 88% מהמשתמשים המריצים את Chrome מותקנת בגרסה העדכנית ביותר. זה מראה כיצד עדכונים אוטומטיים שקטים עושים הבדל עצום, בהשוואה להנחיות העדכון המציקות המשמשות את זמני הריצה של Java ו- Adobe.

אל תשכח גם עדכוני מערכת הפעלה

מרכיב חיוני נוסף של העדכון שיש לזכור הוא עדכוני מערכת ההפעלה. זכור שמשתמשים שהתקינו עדכונים אוטומטיים נחסכו מהתקפת תוכנת הכופר הנוראה באמצע 2017. גם אם אתה שומר תוכנות כמו Java מעודכנות, המחשב שלך עדיין בסיכון אם לא תתקין עדכוני Windows.

Windows 10 הופך את העדכונים האוטומטיים לקלים, אך ייתכן שאלה ב- Windows 7 השביתו אותם. ומי שעדיין משתמש ב- Windows XP כמעט ארבע שנים לאחר סיום חייו, מסכן את עצמו.

עד כמה מסוכנת ג'אווה, באמת?

ביחד, האם אנחנו עדיין יכולים לומר ש- Java מהווה את הסיכון האבטחה הגדול ביותר עבור מחשבים שולחניים? לא באמת. בצד השלילי, אנשים עדיין ממשיכים להריץ גירסאות מיושנות של ג'אווה למרות שהם ממש לא צריכים את זה. זה פותח אותם בפני פגיעויות אבטחה. עם זאת, מכיוון שרוב הדפדפנים אינם תומכים יותר ב- Java, הם אינם פתוחים לתקיפה כמו פעם.

החוליה החלשה באבטחת המחשב שלך מגיעה מהתוכנה הפופולרית ביותר שאתה לא מעודכן . אם יש לך את הגירסה החדשה ביותר של ג'אווה אך עדיין אין לך הסר את התקנת QuickTime עבור Windows שאינה נתמכת , זה סיכון גדול. גרסה מיושנת של Flash, Adobe Reader או iTunes עלולה לפתוח אותך גם לתקיפה.

אנו יכולים להפיק מהנתונים למעלה שתוכניות ללא עדכונים אוטומטיים הן בדרך כלל הפחות מאובטחות. לדוגמה, iTunes מבקשת כל הזמן מהמשתמשים לעדכן, וזה מעצבן. זה מוביל אנשים להתעלם מהעדכונים ולהשאיר מותקנת גרסה לא מאובטחת.

מה לגבי Mac ו- Linux?

התמקדנו ב- Java עבור Windows למעלה, אך ראוי להזכיר במהירות כיצד הדבר משפיע גם על משתמשי Mac ו- Linux.

באופן מפתיע, למרות שאפל לא מאפשרת לתוספים לפעול כברירת מחדל ב- Safari, הדפדפן עדיין תומך בפלאגינים הישנים כמו Java ו- Silverlight. אמנם עליך להסיר את ההתקנה של Java במחשב Mac שלך אלא אם כן אתה זקוק לה מסיבה מסוימת, אך Java לא גרמה לבעיות רבות עבור משתמשי Mac כפי שגרמה ל- Windows. לאחרונה, רוב חורי האבטחה ב- macOS הודות לפיקוח של אפל עצמה.

גם לינוקס לא ראתה פגיעות ייחודיות של Java. אם אתה זקוק לדפדפן התומך ב- Java ב- Linux, תוכל לנסות את גרסת ESR (Extended Support Release) של Firefox . Firefox מספק גירסה זו לסביבות עסקיות; הוא מספק את עדכוני האבטחה העדכניים ביותר אך ממתין יותר זמן עד להרחבת עדכוני התכונות. הגרסה הנוכחית, 52, תומכת ב- Java ותוספים מדור קודם יהיו זמינים עד מתישהו ברבעון השני של 2018.

עתיד ללא תוספים

החדשות הטובות הן שאתה כבר לא צריך להתקין את רוב התוספים שעלולים להיות מסוכנים ומעצבנים. מעט מאוד אתרים משתמשים ב- Java, והתוכנית העיקרית שאנשים שמרו על ג'אווה מותקנת עבור --- Minecraft --- כולל כעת גרסה מאוחדת של Java . גם תוספים אחרים אינם נחוצים. מיקרוסופט הפסיקה את Silverlight לפני שנים, ויהיה לך קשה למצוא אתר עם תוכן Shockwave.

פלאש הוא היוצא מן הכלל הבודד. רוב הדפדפנים עדיין תומכים בו בשל הפופולריות שלו, אבל אדובי תהרוג אותו בשנת 2020 . עד אז, הקפד לעדכן את Flash במחשב האישי שלך. Chrome עושה זאת באופן אוטומטי, כך שאולי אפילו לא תתקין אותו יותר (וזה נהדר).

אז בקיצור: ג'אווה עדיין לא בטוחה אך מהווה פחות סיכון בזכות הדפדפנים שמשביתים אותה. עליך להסיר את ההתקנה של תוכניות שאינך צריך (כולל תוספים ישנים), לעדכן את התוכנה במחשב שלך ולהחיל עדכוני מערכת הפעלה. אם תעשה זאת יהיה לך טוב.

קרדיט תמונה: avemario/ פיקדונות

לַחֲלוֹק לַחֲלוֹק צִיוּץ אימייל כיצד לשנות את המראה והתחושה של שולחן העבודה של Windows 10

רוצה לדעת כיצד לגרום ל- Windows 10 להיראות טוב יותר? השתמש בהתאמות אישיות פשוטות אלה כדי להפוך את Windows 10 לשלך.

קרא הבא נושאים קשורים
  • בִּטָחוֹן
  • ג'אווה
  • אבטחת מחשב
על הסופר בן שטגנר(1735 מאמרים פורסמו)

בן הוא סגן עורך ומנהל Onboarding ב- MakeUseOf. הוא עזב את עבודת ה- IT שלו בכדי לכתוב משרה מלאה בשנת 2016 ומעולם לא הסתכל לאחור. במשך שבע שנים הוא מכסה הדרכות טכניות, המלצות למשחקי וידאו ועוד כסופר מקצועי.

עוד מאת בן שטגנר

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחצו כאן להרשמה