Безопасность Java и Adobe Flash Player

12.06.2015

4302

Технологии Java и Flash Player облегчают задачи разработчиков и пользователей, но безопасность Java и Flash таит для пользователя серьезные угрозы.

По мнению компаний, занимающихся информационной безопасностью, одно из самых популярных направлений для осуществления хакерских атак и взломов – это технологии Java и Flash. Они получили широкое распространение, но большинство пользователей мало что знают о них. Рассмотрим, что представляют собой Java и Flash, их уязвимости, а также как защитить себя от злоумышленников, которые пользуются ими для своих целей.

Безопасность Java и Flash Player – главные мишени атак злоумышленников

По сообщению компании Microsoft, еще в 2013 году основными путями для взлома и атак на компьютеры под управлением Windows стали Java и Adobe Flash Player. Несмотря на то что их производители довольно быстро реагируют на появление новых уязвимостей пользователи продолжают подвергаться опасностям.
Согласно исследованию «Лаборатории Касперского» со второй половины 2012 по первую 2013 годов количество атак через Java увеличилось на треть по сравнению с таким же предыдущим периодом. Их эффективность обусловлена главным образом скрытыми действиями вирусов. Если в компьютере уже содержится программа с уязвимостью, то при посещении страниц с вредоносным кодом, он становится жертвой злоумышленника.
Adobe неоднократно сообщала о появлении критических уязвимостей Flash Player, которые могут позволить полностью завладеть операционной системой или привести к аварийному завершению ее работы. В связи с этим компания давала рекомендации в отношении безопасности.
По сообщению независимого исследователя Kafeine уязвимость Java CVE-2013-2423 может быть использована для распространения вредоносного программного обеспечения Reveton. С его помощью происходит блокирование операционной системы, а затем вымогается оплата за ее восстановление.

Эти и многие другие факты указывают на повышенную опасность Java и Adobe Flash Player. Поэтому особое внимание необходимо уделить безопасности операционных систем, использующих эти технологии.

Java

Как язык программирования и вычислительная платформа Java была разработана в 1995 году компанией Sun Microsystems. В последующие годы правопреемником стала компания Oracle, которая до сих пор занимается поддержкой продукта. Разработка получила название от одноименной марки кофе, и логотипом было выбрано изображение чашки с этим напитком. Согласно другой версии название Java и его эмблема намекает на кофе-машину, как бытовой прибор, для которого первоначально и разрабатывался язык программирования.

Широкую распространенность приложения на Java получили благодаря ее преимуществам:

Независимость от операционной системы и типа оборудования. Это позволяет запускать приложения на любом устройстве, имеющем соответствующую виртуальную машину.
Система безопасности. Работа программ находится под полным контролем виртуальной машины, поэтому любой несанкционированный доступ к данным или подключение к другой машине сразу же прерывается.

Одним из недостатков Java считается низкая производительность. Хотя благодаря принятым мерам по усовершенствованию скорость работы увеличилась.

Уязвимости Java

В отношении Java можно выделить несколько основных причин большого количества атак:

Популярность. С появлением огромного разнообразия мобильных устройств возникла необходимость разрабатывать приложения для разных платформ. Java в отношении совместимости с различными операционными системами и оборудованием является самым удобным вариантом. Крупные компании используют именно ее для написания приложений, используемых в работе с документами. По некоторым подсчетам сегодня она присутствует более чем на трех миллиардах устройств.
Простота в эксплуатации Java-уязвимостей, потому что отсутствует необходимость обходить механизмы безопасности, такие как DEP/ASLR и другие.
Возможность использования уязвимостей не только для Windows, но и для других операционных систем.
Так как создание Java пришлось на то время, когда появление вирусов не являлось чем-то актуальным, то не было необходимости уделять большое внимание безопасности.
Нежелание пользователей своевременно устанавливать обновления. Причиной этого часто бывает непонимание важности исправления ошибок.
Постоянное наличие промежутка времени, в течение которого Oracle или не знает о появлении новых уязвимостей, или еще не успел выпустить соответствующее обновление. Проще говоря, создатели вредоносного софта действуют на опережение разработчика приложений Java.

Принимая во внимание опасности, приводящие к заражению операционной системы, некоторые решают по возможности не использовать Java на своем компьютере. При этом нужно учесть, что работа со многими приложениями и сайтами становится невозможной. На экране появляется окно следующего содержания:

Flash Player

Разработка приложения под названием FutureSplash Animator началась компанией FutureWave, которая была приобретена Macromedia в 1996 году. И тогда появилось название Flash, использующееся до сих пор. В 2005 году компания Macromedia была поглощена гигантом Adobe, и продукт получил официальное название Adobe Flash Player.

Он установлен на 98% компьютеров. Без него невозможно просматривать флэш-контент, а именно: аудио, видео, анимацию, игры и множество других графических приложений. Без него интернет очень сильно отличался бы от того, каким мы знаем его сегодня.

Хотя существуют и другие плееры, преимущества технологии от Adobe делают Flash Player самым популярным:

Минимальный размер мультимедийных файлов. При этом сохраняются все элементы: звук, движение, интерактивность.
Результат не зависит от разрешения монитора, что является одним из основных требований к интерне-контенту.
Совместимость со всеми популярными операционными системами, включая мобильные устройства.

Уязвимости Flash Player

Именно популярность продукта от компании Adobe сыграла отрицательную роль в отношении безопасности. Его взлом для злоумышленников является одновременно и доступной задачей, и возможностью вмешаться в работу операционной системы жертвы.

Например, найденная в 2008 году уязвимость давала возможность получить удаленный доступ к веб-камере и микрофону. В других случаях атаки позволяли установить полный контроль над операционной системой, получить личную информацию или же влиять на работу веб-сайтов, включающих в себя компоненты Flash.

Возможность заражения обусловлена методом, применяющимся для обработки файлов анимации Shockwave Flash (SWF). Это дает возможность создать специальный файл SWF, позволяющий удаленно выполнить код. Процесс заражения происходит во время посещения веб-страниц, включающих в себя такой файл, или просмотра вложений в сообщениях электронной почты с подобным содержимым. В некоторых случаях злоумышленник должен иметь контроль над веб-узлом, содержащим страницу для использования такой уязвимости. Так как он не может заставить пользователя открыть ее, задача хакера заключается в том, чтобы убедить перейти по нужной ссылке. Этот факт нужно учитывать для обеспечения информационной безопасности со стороны Adobe Flash Player.

Несвоевременное обновление – основная причина заражения

Из-за огромной популярности Java и Adobe Flash Player создатели вредоносного кода с завидным постоянством находят и эксплуатируют все новые уязвимости этих технологий. Поэтому разработчики программного обеспечения регулярно выпускают обновления, цель которых «залатать» соответствующие «дыры».

Например, в 2010 году значительный рост числа атак и попыток взлома с использованием Java был обусловлен в первую очередь увеличением числа компьютеров с устаревшими версиями приложений. Таким образом, проблема заключалась в пренебрежении пользователями установкой своевременных обновлений, направленных на устранение уязвимостей системы безопасности. Причины несвоевременных действий по обновлению заключаются в следующем:

Многие просто не знают о существовании на своем компьютере этих приложений, не говоря уже о том, какую роль они играют в системе, и зачем их нужно обновлять.
Другие не имеют понятия, как происходит обновление, и что для этого нужно делать. В этом случае задача сводится к тому, чтобы отследить появление новых обновлений. В отношении плановых не возникает особых трудностей. Но иногда выпускаются срочные, и тогда появляется риск несвоевременной их установки
Ограниченные права пользователей корпоративных машин. Обновление происходит централизовано и с опозданием достаточным, чтобы подвергнуть систему опасности. Несмотря на то, что Adobe и Oracle уже позаботились об автоматическом обновлении своих продуктов, проблема остается актуальной поскольку механизм настройки довольно сложный для большинства. При этом остается обязательным наличие прав администратора, что является решаемым для домашнего пользователя, но не для корпоративных сетей, где вся работа возлагается на системного администратора.

Еще одной проблемой, связанной с Java и Adobe Flash Player является выпуск так называемых фейковых апдейтов, то есть поддельных обновлений. Это новый и довольно эффективный вид распространения вредоносного программного обеспечения. Он не вызывает подозрений, так как внешний вид и содержание сообщений не отличается от оригинальных. Так, например, пользователям приходит сообщение стандартного содержания с предложением обновить продукт. Выглядит оно таким образом:

Благодаря высокому качеству отличить его от оригинального окна практически невозможно. При этом имеется даже цифровая подпись от VeriSign типа Adobe Flash Player версии 2.0.4.54.

Обновление Java

Для поддержания приложений в актуальном с точки зрения безопасности состоянии их необходимо регулярно обновлять. При этом важно учитывать появление фейковых апдейтов. Поэтому рассмотрим способы безопасного обновления.

Для Java существует несколько вариантов обновления:

На сайте разработчика предоставлен сервис, позволяющий определить текущую версию и при необходимости загрузить новую. Для того чтобы им воспользоваться нужно перейти на сайт java.com и нажать на ссылку «Установлено ли на моем компьютере программное обеспечение Java?». Если имеется более новая версия нажать на «Загрузить Java сейчас» и следовать указаниям по установке.
На этом же сайте содержится важное предупреждение, настоятельно рекомендующее удалить предыдущие версии, которые могут угрожать безопасности компьютера. Поэтому перед установкой самой последней версии нужно воспользоваться указаниями в разделе «Удаление более старых версий».
Еще один безопасный метод – обновление при помощи Java Control Panel. Она находится на панели управления Windows. В окне контрольной панели на вкладке Update необходимо нажать на кнопку Update Now. При помощи этого же сервиса можно настроить проверку и установку обновлений в автоматическом режиме ежедневно, еженедельно или ежемесячно. Для этого нужно поставить галочку на Check Updates Automatically, нажать на Advanced…, и выбрать требуемую регулярность

Java Control Panel

Обновление Flаsh Player

Основные способы обновления Adobe Flash Player:

При выпуске новых обновлений всплывает баннер с предупреждением о необходимости обновления продукта. Нужно перейти по ссылке, ведущей на официальный сайт разработчика. Здесь показана информация об операционной системе пользователя, новой версии плеера и варианты используемых браузеров. После выбора необходимых параметров следует нажать на кнопку «Загрузить» и запустить скачанный файл. В процессе установки будет предложено настроить автоматическое обновление.
Также существует способ, использующий Менеджер настроек Flash Player. Его можно найти на панели управления Windows в соответствующем разделе. На вкладке «Обновления» необходимо выбрать предпочитаемый метод обновления, а также проверить наличие новых версий. Для этого предусмотрена кнопка «Проверить сейчас», которая ведет на официальный сайт Adobe. На открывшейся странице можно увидеть свою версию плеера и сравнить ее с последними, которые отображены в таблице ниже.

Уязвимости Java и Flash будут и дальше эксплуатироваться злоумышленниками, но, проявляя осторожность во время загрузки файлов из сети, а также используя самые последние версии программного обеспечения, можно в значительной степени обезопасить свой компьютер и личные данные, содержащиеся на нем.

Читать дальше: