Хакер #305. Многошаговые SQL-инъекции
Поскольку незапатченные Java-уязвимости часто используются наборами
эксплойтов и пользователи часто забывают обновить Java, Микко Хиппонен из
F-Secure предположил, что пришло время рассмотреть возможность обходиться без
нее.
"Не стоит путать Java с JavaScript: сложно использовать интернет без
JavaScript. Но JavaScript не имеет ничего общего с Java", - пояснил он и сказал,
что популярный набор эксплойтов
BlackHole имеет огромный
успех при эксплуатации недавно обнаруженной Java-уязвимости.
Проблема с Java заключается в том, что она должна регулярно обновляться, но
очень многие пользователи даже не знают о ее существовании на компьютере. Также
до недавнего времени, новые версии Java автоматически не деинсталлировали
старые, которые можно было найти в системе и эксплуатировать.
В общем, Java может понадобиться лишь для нескольких обычно используемых
страниц или веб-приложений, поэтому Хиппонен рекомендует оставить Java в
системе, но удалить Java-плагин из используемого ежедневно браузера, затем
использовать другой браузер только для этих сайтов и сервисов.
Он также обращает внимание на то, что следует рассмотреть переход к Chrome,
поскольку браузер Google не только блокирует многие эксплойты Java, но также не
использует плагин Adobe Reader, чтобы воспроизводить PDF-файлы, и обладает
хорошими возможностями песочницы.