LINUX.ORG.RU
ФорумTalks

Свежие дырищща в Java


0

0

Не провокации флейма окоянного ради, а в образовательных целях только, даю сию ссылку

http://secunia.com/advisories/29239/

Там список из 9 дыр под грифом "☢HIGH CRITICAL☢" датируемых пятым и седьмым числами месяца марта сего года (то бишь намедни). Вот, например, первая:

> 1) Two unspecified errors in the Java Runtime Environment Virtual Machine can be exploited by a malicious, untrusted applet to read and write local files and execute local applications...

Дырки, конечно же, имеют пометку "remote" и мультиплатформенны. Обновление уже выпущено (jre6u5) и есть на главное странице ЛОРа.

★★★★★

Re: Свежие дырищща в Java

Чем хороши дыры в винде: нашел уязвимость в lsass и юзаешь ее в течение многих леть, вдруг на нее выходит закладка, находишь новую дырку тамжо.

В java: ищешь дыру в течение многих лет, находишь, неуспеваешь написать эксплоит, как уже выходит обновление и все, из всех потенциальных жертв уязвимая виртуальная машина отсается только у тебя 8(

wfrr ★★☆ ()

Re: Свежие дырищща в Java

все эти дыры про аплеты, и вебстарт. Ничего "remote" из того что может затронуть серверный софт здесь нету.

zort ()
Ответ на: Re: Свежие дырищща в Java от Legioner

Re: Свежие дырищща в Java

> Сами они вроде не обновляются, в альтернативной ОС по крайней мере

Отлично обновляются.

theos ★★★ ()
Ответ на: Re: Свежие дырищща в Java от Legioner

Re: Свежие дырищща в Java

> Да ладно, кто эти виртуальные машины обновляет. Сами они вроде не обновляются, в альтернативной ОС по крайней мере.

Обновляются! Это особенно смешно выглядит если в винду раз в месяц грузишься. Загружаешься, и тебя каждый раз приветствуют предложения обновить JRE, adobe reader, firefox, и вообше все что установлено :-)

gods-little-toy ★★★ ()
Ответ на: Re: Свежие дырищща в Java от zort

Re: Свежие дырищща в Java

> ну дык это на винфак.

тебе же сказали, "мультиплатформенные"!

А апплет, как ты узнаешь подозрительный он или нет. Мне до этого момента казалось что jre можно доверять больше чем флешу (по отзывам делающих флешки последний глюкалово ужасное, навряд ли ситуация с безопасностью лучше чем со всем остальным). А теперь оказывается и жабе нельзя доверять...

gods-little-toy ★★★ ()
Ответ на: Re: Свежие дырищща в Java от gods-little-toy

Re: Свежие дырищща в Java

> А апплет, как ты узнаешь подозрительный он или нет.

А еще если запускать подрят все программы, которые попадаются в инете то рано или поздно у тебя не станет /хоме, а то и всей системы. Вас это не настораживает?

// :(

anonymous ()

Re: Свежие дырищща в Java

>Обновление уже выпущено (jre6u5) и есть на главное странице ЛОРа.

Не на главное, а на гламне, %u2erп@me%! Ч0ч0! 0нотеле следит, следи за грамматикой, .ц.ко.

anonymous ()
Ответ на: Re: Свежие дырищща в Java от anonymous

Re: Свежие дырищща в Java

> А еще если запускать подрят все программы, которые попадаются в инете то рано или поздно у тебя не станет /хоме, а то и всей системы. Вас это не настораживает?

ты не догоняешь. идея Java-aпплетов в том, что они у клиента могут очень мало чего сделать - фактически только рисовавать в своей области экрана да звуки играть. На все остальное VM будет спрашивать разрешения пользователя

Этим aпплеты и отличаются от activex'ов и прочих программ - там запуск требует полного доверия автору программы, а тут нет.

gods-little-toy ★★★ ()
Ответ на: Re: Свежие дырищща в Java от gods-little-toy

Re: Свежие дырищща в Java

зря тебе что-то там казалось.... джава-плагин уже как много лет дырками плодоносит. Чистой жабе доверять можно. Всему что с ней интерфесится, в том числе ланчерам вроде джава-плагина и либам типа тех что для обработки картинок - нельзя.

zort ()
Ответ на: Re: Свежие дырищща в Java от anonymous

Re: Свежие дырищща в Java

>Запарило это решето, ухожу на .NET

Предлагаю вам идти на другую технологию, тоже из трех букв...

ps. php а не то что вы подумали.

wfrr ★★☆ ()

Re: Свежие дырищща в Java

...среди долины ровныя

GreyDoom ★★★★ ()
Ответ на: Re: Свежие дырищща в Java от Legioner

Re: Свежие дырищща в Java

>Да ладно, кто эти виртуальные машины обновляет. Сами они вроде не обновляются, в альтернативной ОС по крайней мере.

В альтернативных ОС - возможно. В Gentoo же обновляется сразу после обновления портежа :) Это на автомате. А вручную, естественно, правкой одной цифры в имени ebuild'а обновится можно.

KRoN73 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.