Эксплуатация уязвимостей в платформе Java

Александр Панасенко 29 Июля 2011 - 17:54

...

Эксплуатация уязвимостей в операционных системах и приложениях является одним из самых популярных методов киберпреступников на сегодняшний день. С целью повысить вероятность заражения вирусописатели создают и продают наборы эксплойтов - пакеты вредоносных программ, нацеленные сразу на несколько слабых мест в системе. Со временем новые эксплойты добавляются в уже существующие и распространенные наборы, что позволяет киберпреступникам успешно использовать на непропатченных машинах разные по времени обнаружения лазейки в защите системы и экономить свои ресурсы. Подобные наборы продаются на черном рынке по ценам от нескольких сот до тысячи с лишним долларов.

Эксперт "Лаборатории Касперского" Висенте Диаз отмечает, что новой тенденцией на рынке эксплойтов стало активное использование уязвимостей платформы Java. В 2010 году 40% новых эксплойтов, входящих в пятерку наиболее распространенных наборов, были нацелены именно на эту платформу. Только за прошлый год Java-уязвимости поднялись на третье место по частоте использования в пакетах вредоносных программ, уступая приложениям Internet Explorer и Adobe Reader. По информации Microsoft Malware Protection Center, 2010 год стал рекордным по количеству попыток эксплуатации уязвимостей в Java.

В первой половине 2011 года этот тренд сохранился. Первые два набора из пятерки самых распространенных пакетов эксплойтов за 2011- BlackHole, NeoSploit, Phoenix, Incoginto и Eleonore - практически наполовину состоят из вредоносных программ для Java. Платформа Java популярна среди вирусописателей, потому что представляет собой наиболее легкий способ обойти защиту операционной системы.

"Киберпреступники придают огромное значение возврату вложенных средств: они прилагают ровно столько усилий, сколько нужно, чтобы оставаться на шаг впереди механизмов защиты. А эффективность всей системы безопасности, как известно, определяется ее самым слабым элементом, которым в данном случае является Java", - резюмирует Висенте Диаз, ведущий антивирусный эксперт "Лаборатории Касперского".

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 12:08

Малый и средний бизнес Корпорации Управление процессами безопасной разработки (ASOC)Безопасная разработка приложений (DevSecOps)

Yandex B2B Tech запустила Stackland для разработки в закрытом контуре

Yandex B2B Tech вывела на рынок Yandex Cloud Stackland — платформу для развёртывания и масштабирования ИТ-приложений в закрытом контуре компании. Решение рассчитано в том числе на проекты с искусственным интеллектом. Речь идёт о готовой инфраструктурной платформе, которую можно развернуть на собственных или арендованных серверах.

Внутри уже предусмотрены базовые компоненты, которые обычно нужны командам разработки: управляемые базы данных, контейнерный оркестратор, объектное хранилище и инструменты для работы с ИИ-нагрузками, включая управление доступом к графическим ускорителям.

В компании говорят, что Stackland можно развернуть за несколько часов. Идея здесь довольно понятная: снять с команды часть инфраструктурной рутины, чтобы разработчики меньше времени тратили на поддержку среды и быстрее переходили к работе над самими продуктами.

Платформа ориентирована на компании, которые по разным причинам не хотят полностью переносить разработку в публичное облако. Это может быть связано и с внутренними требованиями, и с регуляторными ограничениями, и просто с привычной для бизнеса гибридной моделью, когда часть данных и сервисов остаётся внутри собственного контура.

Отдельно отмечается, что Stackland можно встроить в уже существующую инфраструктуру без полной перестройки текущего ИТ-ландшафта. То есть бизнесу не обещают революцию с заменой всего и сразу, а скорее предлагают ещё один слой, который можно встроить поверх привычной среды.

Через Stackland можно не только разрабатывать собственные решения, но и подключать отдельные сервисы Yandex Cloud. Уже сейчас на платформе доступны Yandex SpeechSense и Yandex DataLens, а позже должен появиться и Yandex AI Studio — продукт для создания ИИ-приложений и агентов.

По словам компании, в закрытом режиме платформу уже тестировали несколько организаций из сфер электронной коммерции, финтеха, ретейла и промышленности. Среди названных примеров — Альфа-Капитал и АО «Кириллица». Внедрением и поддержкой Stackland также занимаются партнёры, включая Hilbert Team, Neoflex, KTS, Навикон и АБ Групп.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!