眾所周知的是Java和Flash歷來被攻擊者所青睞，這多虧了它們巨大的裝機量和眾多的安全問題。但與此同時被攻擊者所定為目標的用戶們卻沒有這么樂觀，如最新的數(shù)據(jù)顯示只有19%的商業(yè)客戶運行著最新版本的Java程序，同時也有25%的用戶運行著至少6個月以前的Flash版本。

[[85498]]

這些被Websense于8月份歷時4周所采集的數(shù)據(jù)，勾勒出了一幅對于攻擊者來說非常樂觀的畫面。瀏覽器插件以及擴展應(yīng)用如Java和Flash已經(jīng)成為攻擊者非常樂于攻擊的目標，這不僅僅是由于漏洞利用程序的普遍性，也由于很多的用戶不常更新這些程序。在大多數(shù)情況下操作系統(tǒng)和瀏覽器會設(shè)定為自動更新，這一舉措將安全管理的權(quán)利從用戶的手里剝奪出來。但是這通常不適用于瀏覽器的插件。用戶需要自行去安裝最新版本的插件，而通常用戶是不愿意勞神去做這些事情的。

這種松懈的安全態(tài)度正迎合了攻擊者的需求，因為手中的漏洞大量適用于過去的軟件版本，并且最新版本中這些漏洞通常已經(jīng)被修補了。然而，攻擊者也不會放過最新的漏洞(如果它們可用的話)。最近，研究者發(fā)現(xiàn)了兩個最新的Java漏洞出現(xiàn)在了Neutrino Exploit Kit中。

“新的Java漏洞CVE-2013-2473和CVE-2013-2463已經(jīng)針對運行著過時版本Java的機器產(chǎn)生了巨大影響，很明顯網(wǎng)絡(luò)上的攻擊者了解很多組織中存在Java的升級問題”，Websense的Matthew Mors在一份分析報告中寫到。

“40%的Java 6用戶對于這些漏洞來說是易受攻擊的，并且目前并沒有出現(xiàn)有效的補丁程序。一些有效的漏洞工具分發(fā)套件，如Neutrino，以及以Java 6為目標的尚無補丁存在的漏洞對于沒有升級到Java 7的組織來說是一次挑戰(zhàn)。”

安全研究員已經(jīng)嚴厲批判了Oracle近些年對于Java安全不甚注意的態(tài)度，但是如果用戶在更新可用時仍不將軟件升級到最新版本，這無異于火上澆油。 Flash用戶同樣沒有快速地進行升級的習慣，這是一個非常巨大的問題，尤其是當你考慮到Flash在全世界的裝機量高于任何其他軟件時。事實是40%的Flash用戶正運行著過時的、易受攻擊的軟件版本，這一現(xiàn)狀將會使得攻擊者們的生活更加輕松愉快。

(原文鏈接:http://threatpost.com/many-flash-java-users-running-older-vulnerable-versions/102203)