Чашка с кофе снова дала трещину

0

0

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, опубликовал информацию о новой неисправленной критической уязвимости, проявляющейся во всех версиях Java SE 5, 6 и 7, независимо от используемой операционной системы. Проблема позволяет выполнить код в системе в обход всех уровней изоляции виртуальной машины Java. Прототип эксплоита, который пока не опубликован в открытом доступе, успешно протестирован для браузерного Java-плагина совместно с последними выпусками браузеров Chrome, Firefox, Internet Explorer, Opera и Safari.
Компании Oracle уже сообщены все технические детали проблемы и передан рабочий эксплоит. Отмечается, что новая уязвимость приурочена к конференции JavaOne, которая состоится 30 сентября. Опасность проблемы усугубляется тем, что она не ограничивается только Java 7 и успешно проявляется в ветках Java 5 и 6.

Источник

Ссылка

←	Эпичная уязвимость в Webmin <=1.590

PPtP ПЫЩЩ ПЫЩЩ

→

Мне вот интересно, зачем «исследователь» выставляет проблему на всеобщее обозрение? Тихо бы доложил ораклу и получил бы плюшки.

З.Ы. ~~Kindly_Cat~~, хватит менять юзерпик :)

amazpyel ★★★
(26.09.12 12:36:16 MSK)

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Чтобы оракл быстрее исправил. Типа даю вам 10 дней и выкладываю рабочий эксплоит в открытый доступ :)

sergej ★★★★★
(26.09.12 12:42:51 MSK)

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Мне вот интересно, зачем «исследователь» выставляет проблему на всеобщее обозрение? Тихо бы доложил ораклу и получил бы плюшки.

А как же слава, девки, пиво, рок-н-рол?!

erfea ★★★★★
(26.09.12 12:44:42 MSK)

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Чтобы привлечь внимание и поторопить Оракл, не?
P.S. Фрактал нашёл свою старую аву и опять занялся копипастой с опеннета - всё устаканилось. ))

sluggard ★★★★★
(26.09.12 12:45:28 MSK)

$ eix --installed java
Совпадений не найдено.

xorik ★★★★★
(26.09.12 12:46:28 MSK)

Ответ на: комментарий от erfea 26.09.12 12:44:42 MSK

А как же слава, девки, пиво, рок-н-рол?!

это хорошо, но кулахацкеры тоже не спят и заюзают уязвимость, а оракл не успеет пофиксить допустим

amazpyel ★★★
(26.09.12 12:49:48 MSK)

Ответ на: комментарий от xorik 26.09.12 12:46:28 MSK

А eix -I jre или eix -I jdk?

AnDoR ★★★★★
(26.09.12 12:50:34 MSK)

Ответ на: комментарий от sergej 26.09.12 12:42:51 MSK

так он же пакость может сделать всем, в принципе)

amazpyel ★★★
(26.09.12 12:50:55 MSK)

Ссылка

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Мне вот интересно, зачем «исследователь» выставляет проблему на всеобщее обозрение? Тихо бы доложил ораклу и получил бы плюшки.

Не раскрыт механизм получения плюшек от Оракла. Оракл - есть одна из больших коммерческих контор. С устоявшимся продуктом.

С точки зрения бизнеса, исправлять баги в java вообще нет никакого смысла, если о них просто кто-то тихо доложил. При публичном вое «жаба-решето» кастомеры решений на жабе начинают дергаться и какой-то смысл появляется.

gods-little-toy ★★★
(26.09.12 12:51:22 MSK)

Ответ на: комментарий от amazpyel 26.09.12 12:49:48 MSK

это хорошо, но кулахацкеры тоже не спят и заюзают уязвимость, а оракл не успеет пофиксить допустим

А вот это уже проблема оракла, жабафилов и прочих терпил... ;)

erfea ★★★★★
(26.09.12 12:52:33 MSK)

Ссылка

Ответ на: комментарий от sluggard 26.09.12 12:45:28 MSK

нашёл свою старую аву

вот оно что) я же на так давно зарегистрировался.

Чтобы привлечь внимание и поторопить Оракл, не?

это ясно, но и напакостить пользователям

amazpyel ★★★
(26.09.12 12:53:00 MSK)

Ответ на: комментарий от gods-little-toy 26.09.12 12:51:22 MSK

ясно, выбираем меньшое зло.

amazpyel ★★★
(26.09.12 12:57:14 MSK)

Ссылка

Ответ на: комментарий от amazpyel 26.09.12 12:53:00 MSK

Пакостит пользователям сама Оракля, выпуская дырявые поделки. Они и известные дыры иногда месяцами не закрывают.

sluggard ★★★★★
(26.09.12 13:02:04 MSK)

Ссылка

Ответ на: комментарий от AnDoR 26.09.12 12:50:34 MSK

А eix -I jre или eix -I jdk?

Совпадений не найдено.

xorik ★★★★★
(26.09.12 13:08:21 MSK)

Ссылка

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Правильно делает.

~~craftwr~~
(26.09.12 13:26:40 MSK)

Ссылка

Ага, сегодня утром в секлист прилетело. Немного инфо для Ъ:

The following Java SE versions were verified to be vulnerable:
- Java SE 5 Update 22 (build 1.5.0_22-b03)
- Java SE 6 Update 35 (build 1.6.0_35-b10)
- Java SE 7 Update 7 (build 1.7.0_07-b10)

All tests were successfully conducted in the environment of a
fully patched Windows 7 32-bit system and with the following
web browser applications:
- Firefox 15.0.1
- Google Chrome 21.0.1180.89
- Internet Explorer 9.0.8112.16421 (update 9.0.10)
- Opera 12.02 (build 1578)
- Safari 5.1.7 (7534.57.2)

Под линукс тестов не делали, но при желании пробить можно, ящитаю.
PoC в паблике нету, как и подробностей по уязвимости - но это не значит, что можно спокойно спать до того, как оно всё всплывёт, особенно учитывая то, что это таки зиродей. Кстати говоря

25-Sep-2012

- Vulnerability Notice along with a Proof of Concept code are sent to Oracle corporation (Issue 50).
- Oracle confirms Issue 50. The company provides its tracking number and informs that the issue will be addressed in a future Java SE Critical Patch Update.

Но, как обычно, про то когда же ждать патча ни слова.

~~Reinar~~ ★
(26.09.12 14:09:37 MSK)

Ссылка

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Мне вот интересно, зачем «исследователь» выставляет проблему на всеобщее обозрение? Тихо бы доложил ораклу и получил бы плюшки.

В этой среде главные «плюшки» - это известность среди других хакеров. Он делает имя себе и своей конторе, и это лучше небольшого денежного вознаграждения разово (а поскольку у Оракла инициативы по денежной компенсации усилий на взлом говноджавы я не замечал, то единственное, что он получит - спасибки от оракла и номерок в CVE).

~~Reinar~~ ★
(26.09.12 14:20:06 MSK)

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Kindly_Cat, хватит менять юзерпик :)

А это тот фрактал, или как там его? Смотрю что-то детский лепет знакомый.

anonymous
(26.09.12 14:34:27 MSK)

Ссылка

Ответ на: комментарий от Reinar 26.09.12 14:20:06 MSK

я понял

amazpyel ★★★
(26.09.12 14:55:22 MSK)

Ссылка

Ответ на: комментарий от amazpyel 26.09.12 12:36:16 MSK

Тихо бы доложил ораклу и получил бы плюшки.

Фишка в том, что никто и никогда не дает никаких плюшек.
Максимум что можно ждать от любой компании - спасибо, но обычно даже на письма не отвечают.

Некоторые могут в ответном письме пригрозить дать плюшкой по голове если что не так.

winddos ★★★
(26.09.12 16:21:44 MSK)
Последнее исправление: winddos 26.09.12 16:22:53 MSK (всего исправлений: 1)

Ответ на: комментарий от winddos 26.09.12 16:21:44 MSK

не знаю как оракл, но «Корпорация Добра» дает плюшки. Если оракл ничего не дает, тогда действия Адама правильные

amazpyel ★★★
(26.09.12 16:25:31 MSK)

Ответ на: комментарий от amazpyel 26.09.12 12:49:48 MSK

Настоящие и так юзают многие уязвимости и не жужжат, а школоло никого не волнует.

wbrer ★★★
(26.09.12 16:31:11 MSK)

Ссылка

Ответ на: комментарий от amazpyel 26.09.12 16:25:31 MSK

Так в том-то и дело, что никто не даёт, и только гугл со своим хромом отличился. Нету культуры у большинства компаний в этом плане.
Но тем не менее есть возможность вполне легально продать серьёзные уязвимости по программам а-ля ZDI, так что выход у желающих поиметь деньги «исследователей безопасности» вполне себе имеется.

~~Reinar~~ ★
(26.09.12 17:05:44 MSK)