Annons

Java, som en gång var en viktig del av webben, har minskat i popularitet under de senaste åren. De flesta moderna webbläsare blockerar Java som standard och majoriteten av hemanvändarna behöver inte installera det längre.

Vi har länge hört att Java är den mest osäkra programvaran för stationära datorer, särskilt Windows. Men är det fortfarande sant? Låt oss gräva in och ta reda på det.

De historiska problemen med Java

Det främsta skälet till att Java har blivit ett så populärt mål för attacken är hur utbredd det är. Eftersom Java var designat för maximal kompatibilitet, körs det på en mängd enheter. Förutom datorer, driver Java Blu-ray-spelare, skrivare, parkeringssystem, lotterier och mycket mer. Det är motsatsen till säkerhet genom otydlighet: en stor plattform ger den bästa vinsten för en attack.

Naturligtvis är vi bekymrade över Java på skrivbordet. Och där är det värsta brottet att Java inte automatiskt uppdaterar sig själv. Till skillnad från de flesta andra moderna program ber Java helt enkelt användaren att installera uppdateringar när de är tillgängliga. Ännu värre är det som standard att Java bara söker efter uppdateringar en gång i veckan eller till och med en gång i månaden. Det är farligt för en app med så många säkerhetsproblem.

instagram viewer

Många ser uppdateringsmeddelandet och ignorerar den, vilket resulterar i att de kör en föråldrad version av Java. Och med nya versioner som erbjuds regelbundet kan även de som installerar några uppdateringar bli frustrerade och ignorera ytterligare. I vissa fall, även när användare installerar en ny version, lämnar de också den gamla kopian av Java installerad. Detta utvidgar deras sårbarhet för attack.

Naturligtvis kan vi inte glömma Javas långsiktiga saga om att inkludera den fruktansvärda Ask Toolbar. Varje gång du installerade eller uppdaterade Java, var du tvungen att komma ihåg att avmarkera en ruta eller så skulle den innehålla det skräpstycket. Även om det inte är en exploit, lämnade detta en dålig smak i användarnas mun.

Java fyller 22 år idag.

Vi borde skicka Oracle en tårta med Ask Toolbar på.

- Tim Barrett (@timbarrett) 24 januari 2018

Modern Java

Så det var vad som var fel med Java tidigare, men hur är det nyligen?

I oktober 2017 fann Veracode [No Longer Available] att 88 procent av Java-applikationerna innehåller minst en sårbar komponent. I början av 2016 meddelade Oracle det till och med Java-installationsprogrammet var sårbart. Om en angripare placerade en DLL-fil med ett specifikt namn i mappen Nedladdningar skulle det utlösa en infektion när du kör Java-installationsprogrammet. Och i allmänhet, på grund av Java: s popularitet, skulle du bara behöva besök en kompromissad webbplats som utnyttjade din föråldrade kopia av Java för att bli smittad.

Även om detta betyder att Java är långt ifrån säkert, finns det också goda nyheter. I början av 2016 Oracle meddelade att den planerar att avskriva Java-webbläsarens plugin (som är källan till de flesta problem) i JDK 9, som är tillgänglig nu. Moderna webbläsare har också lämnat Java bakom sig. Chrome tappade stöd för Java i slutet av 2015, och Firefox slutade stödja det i början av 2017. Microsofts Edge-webbläsare, ingår i Windows 10, stöder inte Java alls.

Det betyder att om du verkligen behöver använda Java i en webbläsare måste du hålla dig till Internet Explorer.

De största sårbarheterna

Eftersom Java avtar i popularitet, vad har tagit plats som den mest osäkra skrivbordsprogramvaran?

Flexeras senaste data, från första kvartalet 2017, avslöjar att 7,8% av programmen på den genomsnittliga datorn har nått slutet av deras liv. Det rankas de 10 mest exponerade programmen, baserat på marknadsandelar multiplicerat med procentandel av användare som inte lappas:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle för PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud för Windows 6.x

Den här listan kan överraska dig. Även om Java inte är det mest riskfyllda programmet, är det fortfarande det andra. Andra program som vi vanligtvis inte förknippar med säkerhetsrisker, som VLC och Malwarebytes, har också en plats. Detta illustrerar vikten av att hålla all din programvara uppdaterad, inte bara de populära.

Vi kan se mer genom att undersöka Avasts säkerhetsrapport för tredje kvartalet 2017. Den visar de 10 mest uppdaterade programmen på sina användares datorer:

  1. Java 6, 7 och 8
  2. Adobe Air
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Snabb tid
  10. Adobe Flash Player

När du inkluderar de äldre versionerna verkar det som om Java fortfarande toppar den minst uppdaterade programvaran. Adobes plugins är också stora skyldiga, och vi ser att iTunes och VLC har gjort den här listan också.

Omvänt, enligt TechRadar, Chrome kommer ut på toppen för uppdaterade appar. Vid undersökningen hade 88% av användare som kör Chrome den senaste versionen installerad. Detta visar hur tysta automatiska uppdateringar gör en stor skillnad, jämfört med de irriterande uppdateringsmeddelandena som används av Java och Adobe runtimes.

Glöm inte OS-uppdateringar för

En annan viktig del av uppdateringen att komma ihåg är OS-uppdateringar. Kom ihåg att användare som har installerat automatiska uppdateringar sparades från den fruktansvärda ransomware-attacken i mitten av 2017 Den globala Ransomware-attacken och hur du skyddar dina dataEtt massivt cyberattack har drabbat datorer över hela världen. Har du påverkats av den mycket virulenta självreplikerande ransomware? Om inte, hur kan du skydda dina uppgifter utan att betala lösen? Läs mer . Även om du håller uppdaterad programvara som Java är din dator fortfarande i riskzonen om du inte installerar Windows-uppdateringar.

Windows 10 gör dessa automatiska uppdateringar enkla Fördelar och nackdelar med tvångsuppdateringar i Windows 10Uppdateringar kommer att ändras i Windows 10. Just nu kan du välja och välja. Windows 10 tvingar dock uppdateringar till dig. Det har fördelar, som förbättrad säkerhet, men det kan också gå fel. Vad mer... Läs mer , men de på Windows 7 kan ha inaktiverat dem. Och de som fortfarande använder Windows XP nästan fyra år efter dess livslängd utsätter sig för stora risker.

Hur farlig är Java egentligen?

Sammantaget kan vi fortfarande säga att Java är den största säkerhetsrisken för stationära datorer? Inte riktigt. På den negativa sidan fortsätter människor att köra föråldrade versioner av Java även om de verkligen inte behöver det. Detta öppnar dem för säkerhetsproblem. Men eftersom de flesta webbläsare inte stöder Java längre är de inte öppna för attacker som de en gång var.

Den svaga länken i din dators säkerhet kommer från den mest populära programvaran du inte håller dig uppdaterad. Om du har den senaste versionen av Java men ändå inte avinstallerade den icke-stödda QuickTime för Windows, det är en stor risk. Att ha en föråldrad version av Flash, Adobe Reader eller iTunes kan öppna dig för att attackera också.

nuvarande stämning: förnekar en programuppdatering i 18 månader och nu är verktyget att ladda ner föråldrat

- mal (@ 13_moths) 12 februari 2018

Vi kan hämta från ovanstående data att program utan automatiska uppdateringar vanligtvis är de minst säkra. Till exempel ber iTunes ständigt användare att uppdatera, vilket är irriterande. Detta får människor att ignorera uppdateringarna och lämna en osäker version installerad.

Vad sägs om Mac och Linux?

Vi har fokuserat på Java för Windows ovan, men det är värt att snabbt nämna hur detta påverkar Mac- och Linux-användare också.

Överraskande, medan Apple inte låter plugins som standard köras i Safari, stöder webbläsaren fortfarande de gamla plugins som Java och Silverlight. Du bör avinstallera Java på din Mac såvida du inte behöver det av ett specifikt skäl, men Java har inte orsakat lika många problem för Mac-användare som det har på Windows. På senare tid har de flesta säkerhetshål i macOS varit tack vare översyn från Apple själv.

Jag måste installera NetBeans för något. Mac-versionen skickas som ett installationspaket (!), Vilket var en röd flagga. Men då ville jag att jag skulle installera Java ...

Nej. Nope nej nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8 februari 2018

Linux har inte heller sett några unika Java-sårbarheter. Om du behöver en webbläsare som stöder Java på Linux kan du prova ESR (Extended Support Release) -version av Firefox. Firefox tillhandahåller den här versionen för affärsmiljöer; den tillhandahåller de senaste säkerhetsuppdateringarna men väntar längre på att lansera funktionsuppdateringar. Den nuvarande versionen, 52, stöder Java och andra äldre plugins kommer att vara tillgängliga tills någon gång under andra kvartalet 2018.

En plugin-fri framtid

Den goda nyheten är att du inte behöver de flesta av dessa potentiellt farliga och irriterande plugins Think Flash är det enda osäkra plugin? Tänk omFlash är inte det enda webbläsarplugin som utgör en risk för din integritet och säkerhet online. Här är ytterligare tre plugins som du antagligen har installerat i din webbläsare, men bör avinstallera idag. Läs mer installerat längre. Mycket få webbplatser använder Java och det stora programmet som folk höll Java installerat för — Minecraft—innehåller en säker bundlad version av Java nu Hur man installerar den fullständiga versionen av Minecraft på en Linux-datorMinecraft är ett av de största spelen i världen och körs på nästan alla plattformar. Vill du få den att köras på din Linux-dator? Vi visar dig hur. Läs mer . Andra plugins behövs inte heller. Microsoft försvann Silverlight för år sedan och du skulle vara hårt pressad för att hitta en webbplats med Shockwave-innehåll.

Flash är det enda undantaget Die Flash Die: Den pågående historien för tekniska företag som försöker döda FlashFlash har varit i nedgång under lång tid, men när kommer den att dö? Läs mer . De flesta webbläsare stöder fortfarande det på grund av dess popularitet, men Adobe kommer att döda det 2020. Fram till dess, se till att du uppdaterar Flash på din PC. Chrome gör det automatiskt, så du kanske inte ens har installerat det längre (vilket är bra).

Så kort sagt: Java är fortfarande osäker men utgör mindre risk tack vare webbläsare som inaktiverar det. Du bör avinstallera program du inte behöver (inklusive gamla plugins), hålla programvaran på din dator uppdaterad och tillämpa OS-uppdateringar. Om du gör det kommer du att vara välmående.

Bildkredit: avemario /Depositphotos

Ben är vice redaktör och sponsrad postchef på MakeUseOf. Han har en B.S. i datorinformationssystem från Grove City College, där han tog examen Cum Laude och med utmärkelser i sin major. Han tycker om att hjälpa andra och brinner för videospel som medium.