Những điểm yếu của Java lỗi thời đang lan rộng
Các nhà nghiên cứu vừa cho biết, phiên bản mới nhất của Java chỉ chiếm 5% người dùng, và rất nhiều phiên bản đã lỗi thời.
Một bản báo cáo mới của Websence cho thấy khoảng 94% các thiết bị đầu- cuối chạy Orcale là dễ bị lỗi nhất . Theo các nhà nghiên cứu an ninh tại Websense, nó không chỉ là các cuộc tấn công “ngầm” mà còn là 1 mối đe dọa thường xuyên. Thay vào đó, việc khai thác Java bây giờ là một công cụ phổ biến cho tội phạm mạng hoành hành.
Với rất nhiều lỗ hổng, việc giữ phiên bản cập nhật có thể trở thành 1 vấn đề, đặc biệt là khi Java có thể cập nhật một cách độc lập từ trình duyệt ưa thích của chúng ta, và với sự vận hành giữa các trình duyệt, 1 thiết bị di động rất khó để hoạt động an toàn. Mới đây, đội ngũ an ninh sử dụng Công cụ phân loại nâng cao (ACE) và Mạng ThreatSeeker đều phát hiện và phân tích trong thời điểm hiện tại, các phiên bản Java đang được sử dụng trên “hàng chục triệu” thiết bị gốc.
Các nhà nghiên cứu nhận thấy rằng phiên bản mới nhất của Java, phiên bản 1.7.17, chỉ được sử dụng bởi 5% người dùng, và rất nhiều phiên bản đã lỗi thời hàng tháng hoặc hàng năm thì rất hiếm khi được sử dụng.
(Bảng phân phối các phiên bản Java Runtime Environment dựa vào cách sử dụng trình duyệt hoạt động toàn cầu)
Trong thời đại kĩ thuật số bùng nổ, bộ dụng cụ phần mềm tội phạm - chỉ có thể mua với ít nhất 200 USD, thường được cung cấp với các khai thác dựa trên Java. Bảng phân tích của các nhà khoa học về các lỗ hổng mà bộ dụng cụ có thể được sử dụng để tấn công chúng như sau:
Phiên bản Java hiện hành được phát hiện rộng rãi nhất là phiên bản 1.6.16. Hơn 75% các trình duyệt sử dụng các phiên bản Java ít nhất 6 tháng, trong khi đó gần hai phần ba là lỗi thời 1 năm, và 50% các phiên bản Java sử dụng trong hơn hai năm sau đó là do những lỗ hổng trong trình duyệt Java.
Sau khi tất cả được cân nhắc, các nhà nghiên cứu đã cho biết tỉ lệ các trình duyệt dễ bị hư hại được chốt ở mức đáng kinh ngạc: 93,77%
Charles Renert, phó chủ tịch của Websense Security Labs nói với Security Week:
“Cách kiểm soát như quản lý phần không thể loại bỏ nguy cơ rủi ro. Họ chỉ có thể làm giảm tần suất nguy cơ mà bạn đã biết. Đưa ra tần số ngày càng tăng, sự nghiêm trọng và tinh vi của các mối đe dọa mới nhất, khoảng cách của các cuộc tấn công không rõ cũng tăng lên như các loại véc-tơ này. Thay vì tìm cách để cập nhật một đối tượng duy nhất hoặc ký kết tại một điểm duy nhất đúng giờ, các công ty phải xem xét toàn bộ vòng đời của mối đe dọa và kiểm tra rất nhiều cơ hội để phá vỡ các cuộc tấn công."