众所周知的是Java和Flash历来被攻击者所青睐,这多亏了它们巨大的装机量和众多的安全问题。但与此同时被攻击者所定为目标的用户们却没有这么乐观,如最新的数据显示只有19%的商业客户运行着最新版本的Java程序,同时也有25%的用户运行着至少6个月以前的Flash版本。
这些被Websense于8月份历时4周所采集的数据,勾勒出了一幅对于攻击者来说非常乐观的画面。浏览器插件以及扩展应用如Java和Flash已经成为攻击者非常乐于攻击的目标,这不仅仅是由于漏洞利用程序的普遍性,也由于很多的用户不常更新这些程序。在大多数情况下操作系统和浏览器会设定为自动更新,这一举措将安全管理的权利从用户的手里剥夺出来。但是这通常不适用于浏览器的插件。用户需要自行去安装最新版本的插件,而通常用户是不愿意劳神去做这些事情的。
这种松懈的安全态度正迎合了攻击者的需求,因为手中的漏洞大量适用于过去的软件版本,并且最新版本中这些漏洞通常已经被修补了。然而,攻击者也不会放过最新的漏洞(如果它们可用的话)。最近,研究者发现了两个最新的Java漏洞出现在了Neutrino Exploit Kit中。
“新的Java漏洞CVE-2013-2473和CVE-2013-2463已经针对运行着过时版本Java的机器产生了巨大影响,很明显网络上的攻击者了解很多组织中存在Java的升级问题”,Websense的Matthew Mors在一份分析报告中写到。
“40%的Java 6用户对于这些漏洞来说是易受攻击的,并且目前并没有出现有效的补丁程序。一些有效的漏洞工具分发套件,如Neutrino,以及以Java 6为目标的尚无补丁存在的漏洞对于没有升级到Java 7的组织来说是一次挑战。”
安全研究员已经严厉批判了Oracle近些年对于Java安全不甚注意的态度,但是如果用户在更新可用时仍不将软件升级到最新版本,这无异于火上浇油。 Flash用户同样没有快速地进行升级的习惯,这是一个非常巨大的问题,尤其是当你考虑到Flash在全世界的装机量高于任何其他软件时。事实是40%的Flash用户正运行着过时的、易受攻击的软件版本,这一现状将会使得攻击者们的生活更加轻松愉快。
(原文链接:http://threatpost.com/many-flash-java-users-running-older-vulnerable-versions/102203)
