LINUX.ORG.RU
ФорумTalks

В Java обнаружена ошибка, которая делает java-plugin уязвимым

 


1

2

Эксперты по информационной безопасности рекомендуют пользователям воздержаться от использования Java-плагина и Java Web Start из-за ошибки в системе безопасности, которая делает устройства уязвимыми, сообщает Reuters.

«Java небезопасна, — цитирует агентство эксперта AlienVault Labs Джейми Бласко. — Вам необходимо отключить плагины».

По словам главы подразделения по безопасности Rapid7 Эйч Ди Мура, ошибка в системе безопасности последнего обновления Java 7 используется хакерами для взлома компьютеров на базе Mac OS X, Windows и Linux. Эксперты не исключают, что и другие версии Java могут быть уязвимы.

«Oracle просто необходимо сделать Java более защищенной», — настаивает он.

Эксперты компьютерной команды экстренной готовности США US-CERT сообщают, что хакеры генерируют специальный HTML-документ с вредоносным кодом. Этот код уже добавлен в пакеты эксплойтов Blackhole, Cool Exploit Kit, а также в Nuclear Pack и Redkit, которые используются хакерами для проведения атак.

Как отмечает основатель Security Explorations Адам Гоудиак, это не первая уязвимость в системе безопасности Java. В августе 2012 года компании пришлось уже экстренно исправлять обнаруженные ошибки в программном обеспечении. Новый вредоносный код умеет обходить эту защиту, а также учитывает пакет обновлений для Java, выпущенный Oracle в октябре.

Следующий выпуск обновлений для Java запланирован на 19 февраля 2013 года. Пока неясно, исправит ли Oracle существующую уязвимость до этого.

Оперативный комментарий представителя Oracle получить не удалось. «Не думаю, что в этот раз Oracle выпустит незапланированное обновление без тщательного расследования», — считает ведущий аналитик Bitdefender Богдан Ботезату. И, хотя ранее корпорация показала, что может оперативно действовать по ситуации, все-таки она должна принимать такие меры в зависимости от объема ущерба и быть уверенной в качестве обновления.

Эксплоит, уязвимость, CVE-2013-042

Источник

Перемещено tazhate из java

а можно такие новости даже в непотдвержденны висеть не будут, говорят, что ЛОР всё ещё пытается быть техническим ресурсом..

qnikst ★★★★★ ()

Эксперты выявили ошибку в программном обеспечении Java, которой могут воспользоваться хакеры. Oracle необходимо сделать Java более защищенной, считают эксперты, а пока советуют пользователям воздержаться от использования Java-плагинов.

Эксперты по информационной безопасности рекомендуют пользователям воздержаться от использования программного обеспечения Java из-за ошибки в системе, которая делает устройства уязвимыми для хакеров, сообщает Reuters.

Долго ржал, это мантра такая?

J ★★★★ ()

Даже болд как в газете, годная копипаста.

J ★★★★ ()

марсиане давно зохватили пентаго,я это знаю!

Где примеры,где ссылки на тесты,где скачать?Что за бред вообще...

Сайты использующие джава плагины могут быть уязвимы из-за ошибок программистов сайта и кривом/небезопасном протоколе клиент серверном...

А глобальную уязвимость плагинов(у клиентов) которая ведет к взлому сервра-я просто представить немогу(это судя по новости),они просто не существуют(только ненадо набегать малограмотным-клиент серверное не зависит от технологии,оно либо правильно спроектировано либо нет).Т.е. корпоративные порталы вне опасности,в опасности 0.000001% юзеров шляющимся фиг пойми где со включенными плагинами,и разрешают плагинам доступ к системе(в окошке).

anonymous ()
Ответ на: комментарий от anonymous

Вот пруф: 0-day vulnerability in Java

марсиане давно зохватили пентаго

касперского зря чтоли признали самым опасным человеком в мире? Зря он чтоли на презентациях всех пугает?

Bad_ptr ★★★★ ()

там только оракловская или openjdk тоже?

Tanger ★★★★★ ()

Но ведь в жабе не бывает ошибок.

Deleted ()

В Java обнаружена ошибка, которая делает компьютеры уязвимыми для атак хакеров

Экспертам наконец показали типичного программиста на Java?

buddhist ★★★★★ ()

Удалил Яву со всех компьютеров.

anonymous ()

воздержаться от использования программного обеспечения Java

А разве этим еще пользуются?

Lavos ★★★★★ ()

Эксперты по информационной безопасности рекомендуют пользователям воздержаться от использования программного обеспечения

Вот так лучше. Конкретику можно убрать :)

CybOrc ()

Ога, напугали. Эксплоит только в последней версии. Как будто все имеют привычку софт обновлять.

Мне, кстати, под оффтопиком пару месяцев назад начала какая-то хрень через внедрённый на страницу апплет грузиться. Фаервол выполнение заблокировал, я этот экзешник отловил и в архив посадил. Собираюсь всё потестить в виртуалке, что это было, да некогда.

MiniRoboDancer ★☆ ()

галактикаопасности

что-то жить все страшнее и страшнее..

special-k ★★★ ()
Последнее исправление: special-k (всего исправлений: 1)

Вот как оно бывает.

m0rph ★★★★★ ()
Ответ на: комментарий от qnikst

а можно такие новости даже в непотдвержденны висеть не будут, говорят, что ЛОР всё ещё пытается быть техническим ресурсом..

Поддерживаю. Убрали бы в толксы что ли, хотя бы...

const86 ★★★★★ ()

поменяйте текст новости с желтушно-журнашлюшного на человечкский. информации в нём ноль.

anonymous ()

Новость эпична. Пиши ещё.

meequz ★★ ()

java — дыра похлеще флеша

Reset ★★★★★ ()

Только вот пару дней назад, когда нашли дырку в Ruby on Rails, кричали все как один - что оно - решето, а вот в Java такого нет! :) Что дядька РМС про жабу говорил? Сейчас еще месяц 2 billions devices, которые run Java, будут уязвимыми для.... а, кстати, что там можно сделать, произвольный код от рута можно?

ЗЫ видел на одной странице!

ЗЫЫ Эх... а как же minecraft? )

pihter ★★★★★ ()
Ответ на: комментарий от kovrik

Ну и источник)))

Мне тоже показалось как-то забавно ) особенно на ЛОРе

pihter ★★★★★ ()

Язабан

Эксперты не исключают, что и другие версии Java могут быть уязвимы.

это не первая уязвимость в системе безопасности Java.

Источник вот, например

Это конечно весело и всё такое, но вдруг кто, случайно попав на главную, решит, что это норма для новостей здесь? Лучше всё же удалить, наверное, как бы, например.

Uniqa ()

скучно и не интересно, вот если бы «В Java обнаружена ошибка, которая делает компьютеры НЕуязвимыми для атак хакеров»

mm3 ★★★ ()

Похоже конец света таки наступает)

special-k ★★★ ()

Переведите новость на русский язык.

Psych218 ★★★★★ ()

И вообще, че на парня накинулись? Администрация есть, администрация бдит, новость проверена, стало быть, не утка, жить страшно, хотя.... я тут неделю назад у друга пытался обычный домашний DIR-300 настроить из-под восьмерки, дак вот тогда мне стало страшно, больно и обидно! После этого жабу хочется обнять как любимую и защищать от врагов... и KDE4 и Гном3 и Минт и вообще все, за что раньше хотелось разбить монитор, возникло лютое желание охранять от всех врагов,потому что оно такое теплое и родное... И Жабу вылечат, не закапывать!

pihter ★★★★★ ()

Голосую. Убить! Жаба, руби, питон, пхп, моно, дотнет - всех в могилу! minecraft убить. Доделать minetest.

alx_me ★★☆ ()

из этого можно сделать даже видеосюжет
Огромное помещение, заполненное офисными служащими, следующий план - здания штаб-квартиры Oracle. Ведущий за кадром цитирует Эйч Ди Мура «Oracle просто необходимо сделать Java более защищенной» и далее 20-секундный синхрон с экспертом по безопасности

wxw ★★★★★ ()
Ответ на: комментарий от alx_me

Голосую. Убить! Жаба, руби, питон, пхп, моно, дотнет - всех в могилу! minecraft убить. Доделать minetest.

Голосую против убивания! Особенно против убивания GPL-ного и BSD-шного. А так же против убивания проприетарного, а то нам тут ненавидеть некого будет :)

Minecraft - доделать, minetest - доделать! Ибо больше хорошего и разного! И можно даже с текстовым интерфейсом.

pihter ★★★★★ ()
Ответ на: комментарий от Lorchanin

АААААА!!!!!! Все - газетаруфобы, а ТС стал Д'Артаньяном!

pihter ★★★★★ ()

1) Недоучившиеся студиоузы-кульхацкеры из урюпинских радиотехнических университетов знают разницу между сервлетами и апплетами?

2) Содержимое файлов java.policy и java.security в студию.

3) Ссылка на мегавысер в авторитетнейшем источнике gazeta.ru - просто прелесть! :)

4) СтОит ли мне перестать слушать SACD на своём http://www.pioneer-rus.ru/ru/products/42/84/222/BDP-150-K/page.html (на второй картиночке символ Java Powered) и перейти на Ъ-нищебродские MP3 в чудо-колоночках «Джы-ы-ыниу-уз»???

Bioreactor ★★★★★ ()
Последнее исправление: Bioreactor (всего исправлений: 1)

Эксплоит,

public static String ByteArrayWithSecOff = & #34;CAFEBABE0000003200270A000500180A0019001A07001B0A00 ...";

Чё это? На Джаву не похоже. Каковский язык?

Bioreactor ★★★★★ ()
Ответ на: комментарий от Deleted

Это безграмотная писанина кульхацкера-недоучки, нарушающая все синтаксические правила Джавы, а не заголовок файла класса.

ПионЭр из Рашки_с_Любовью, запостивший этот кал, даже на знает структуру Джава-программы.

Bioreactor ★★★★★ ()
Ответ на: комментарий от Deleted

А теперь наберите import com.sun.jmx.mbeanserver.JmxMBeanServer;

(Даже подправив безграмотные конструкции ниже)

Ничего не смущает? А?

Ню-ню!

Bioreactor ★★★★★ ()
Ответ на: комментарий от Siado

В Java обнаружена ошибка, которая делает java-plugin уязвимым (комментарий)

  Class localClass1 = localMBeanInstantiator.findClass("sun.org.mozilla.javascript.internal.Context", a);

      Class localClass2 = localMBeanInstantiator.findClass("sun.org.mozilla.javascript.internal.GeneratedClassLoader", a);

а в openjdk как я помню юзается голый rhino, причем в половине дистров он не запускается, а где запускается там можно попробовать этот сплоит доработать, но кому этот ваш линукс нужен?

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.