LINUX.ORG.RU
ФорумTalks

В Java обнаружена ошибка, которая делает java-plugin уязвимым

 


1

2

Эксперты по информационной безопасности рекомендуют пользователям воздержаться от использования Java-плагина и Java Web Start из-за ошибки в системе безопасности, которая делает устройства уязвимыми, сообщает Reuters.

«Java небезопасна, — цитирует агентство эксперта AlienVault Labs Джейми Бласко. — Вам необходимо отключить плагины».

По словам главы подразделения по безопасности Rapid7 Эйч Ди Мура, ошибка в системе безопасности последнего обновления Java 7 используется хакерами для взлома компьютеров на базе Mac OS X, Windows и Linux. Эксперты не исключают, что и другие версии Java могут быть уязвимы.

«Oracle просто необходимо сделать Java более защищенной», — настаивает он.

Эксперты компьютерной команды экстренной готовности США US-CERT сообщают, что хакеры генерируют специальный HTML-документ с вредоносным кодом. Этот код уже добавлен в пакеты эксплойтов Blackhole, Cool Exploit Kit, а также в Nuclear Pack и Redkit, которые используются хакерами для проведения атак.

Как отмечает основатель Security Explorations Адам Гоудиак, это не первая уязвимость в системе безопасности Java. В августе 2012 года компании пришлось уже экстренно исправлять обнаруженные ошибки в программном обеспечении. Новый вредоносный код умеет обходить эту защиту, а также учитывает пакет обновлений для Java, выпущенный Oracle в октябре.

Следующий выпуск обновлений для Java запланирован на 19 февраля 2013 года. Пока неясно, исправит ли Oracle существующую уязвимость до этого.

Оперативный комментарий представителя Oracle получить не удалось. «Не думаю, что в этот раз Oracle выпустит незапланированное обновление без тщательного расследования», — считает ведущий аналитик Bitdefender Богдан Ботезату. И, хотя ранее корпорация показала, что может оперативно действовать по ситуации, все-таки она должна принимать такие меры в зависимости от объема ущерба и быть уверенной в качестве обновления.

Эксплоит, уязвимость, CVE-2013-042

Источник

Перемещено tazhate из java



Последнее исправление: maxcom (всего исправлений: 9)

а можно такие новости даже в непотдвержденны висеть не будут, говорят, что ЛОР всё ещё пытается быть техническим ресурсом..

qnikst ★★★★★
()

Эксперты выявили ошибку в программном обеспечении Java, которой могут воспользоваться хакеры. Oracle необходимо сделать Java более защищенной, считают эксперты, а пока советуют пользователям воздержаться от использования Java-плагинов.

Эксперты по информационной безопасности рекомендуют пользователям воздержаться от использования программного обеспечения Java из-за ошибки в системе, которая делает устройства уязвимыми для хакеров, сообщает Reuters.

Долго ржал, это мантра такая?

J ★★★★
()

Даже болд как в газете, годная копипаста.

J ★★★★
()

марсиане давно зохватили пентаго,я это знаю!

Где примеры,где ссылки на тесты,где скачать?Что за бред вообще...

Сайты использующие джава плагины могут быть уязвимы из-за ошибок программистов сайта и кривом/небезопасном протоколе клиент серверном...

А глобальную уязвимость плагинов(у клиентов) которая ведет к взлому сервра-я просто представить немогу(это судя по новости),они просто не существуют(только ненадо набегать малограмотным-клиент серверное не зависит от технологии,оно либо правильно спроектировано либо нет).Т.е. корпоративные порталы вне опасности,в опасности 0.000001% юзеров шляющимся фиг пойми где со включенными плагинами,и разрешают плагинам доступ к системе(в окошке).

anonymous
()
Ответ на: комментарий от anonymous

Вот пруф: 0-day vulnerability in Java

марсиане давно зохватили пентаго

касперского зря чтоли признали самым опасным человеком в мире? Зря он чтоли на презентациях всех пугает?

Bad_ptr ★★★★★
()
Ответ на: комментарий от kovrik

Ну не на опеннет же делать, его и так все читают.

Lorchanin
() автор топика

там только оракловская или openjdk тоже?

Tanger ★★★★★
()

Но ведь в жабе не бывает ошибок.

Deleted
()

В Java обнаружена ошибка, которая делает компьютеры уязвимыми для атак хакеров

Экспертам наконец показали типичного программиста на Java?

buddhist ★★★★★
()

Удалил Яву со всех компьютеров.

anonymous
()

воздержаться от использования программного обеспечения Java

А разве этим еще пользуются?

Lavos ★★★★★
()

Эксперты по информационной безопасности рекомендуют пользователям воздержаться от использования программного обеспечения

Вот так лучше. Конкретику можно убрать :)

CybOrc
()

Ога, напугали. Эксплоит только в последней версии. Как будто все имеют привычку софт обновлять.

Мне, кстати, под оффтопиком пару месяцев назад начала какая-то хрень через внедрённый на страницу апплет грузиться. Фаервол выполнение заблокировал, я этот экзешник отловил и в архив посадил. Собираюсь всё потестить в виртуалке, что это было, да некогда.

MiniRoboDancer ★☆
()

галактикаопасности

что-то жить все страшнее и страшнее..

special-k ★★★
()
Последнее исправление: special-k (всего исправлений: 1)

Вот как оно бывает.

m0rph ★★★★★
()
Ответ на: комментарий от qnikst

а можно такие новости даже в непотдвержденны висеть не будут, говорят, что ЛОР всё ещё пытается быть техническим ресурсом..

Поддерживаю. Убрали бы в толксы что ли, хотя бы...

const86 ★★★★★
()

поменяйте текст новости с желтушно-журнашлюшного на человечкский. информации в нём ноль.

anonymous
()

Новость эпична. Пиши ещё.

meequz ★★
()

java — дыра похлеще флеша

Reset ★★★★★
()

Только вот пару дней назад, когда нашли дырку в Ruby on Rails, кричали все как один - что оно - решето, а вот в Java такого нет! :) Что дядька РМС про жабу говорил? Сейчас еще месяц 2 billions devices, которые run Java, будут уязвимыми для.... а, кстати, что там можно сделать, произвольный код от рута можно?

ЗЫ видел на одной странице!

ЗЫЫ Эх... а как же minecraft? )

pihter ★★★★★
()
Ответ на: комментарий от kovrik

Ну и источник)))

Мне тоже показалось как-то забавно ) особенно на ЛОРе

pihter ★★★★★
()

Язабан

Эксперты не исключают, что и другие версии Java могут быть уязвимы.

это не первая уязвимость в системе безопасности Java.

Источник вот, например

Это конечно весело и всё такое, но вдруг кто, случайно попав на главную, решит, что это норма для новостей здесь? Лучше всё же удалить, наверное, как бы, например.

Uniqa
()

скучно и не интересно, вот если бы «В Java обнаружена ошибка, которая делает компьютеры НЕуязвимыми для атак хакеров»

mm3 ★★★
()

Похоже конец света таки наступает)

special-k ★★★
()

Переведите новость на русский язык.

Psych218 ★★★★★
()

И вообще, че на парня накинулись? Администрация есть, администрация бдит, новость проверена, стало быть, не утка, жить страшно, хотя.... я тут неделю назад у друга пытался обычный домашний DIR-300 настроить из-под восьмерки, дак вот тогда мне стало страшно, больно и обидно! После этого жабу хочется обнять как любимую и защищать от врагов... и KDE4 и Гном3 и Минт и вообще все, за что раньше хотелось разбить монитор, возникло лютое желание охранять от всех врагов,потому что оно такое теплое и родное... И Жабу вылечат, не закапывать!

pihter ★★★★★
()

Голосую. Убить! Жаба, руби, питон, пхп, моно, дотнет - всех в могилу! minecraft убить. Доделать minetest.

alx_me ★★☆
()

из этого можно сделать даже видеосюжет
Огромное помещение, заполненное офисными служащими, следующий план - здания штаб-квартиры Oracle. Ведущий за кадром цитирует Эйч Ди Мура «Oracle просто необходимо сделать Java более защищенной» и далее 20-секундный синхрон с экспертом по безопасности

wxw ★★★★★
()
Ответ на: комментарий от alx_me

Голосую. Убить! Жаба, руби, питон, пхп, моно, дотнет - всех в могилу! minecraft убить. Доделать minetest.

Голосую против убивания! Особенно против убивания GPL-ного и BSD-шного. А так же против убивания проприетарного, а то нам тут ненавидеть некого будет :)

Minecraft - доделать, minetest - доделать! Ибо больше хорошего и разного! И можно даже с текстовым интерфейсом.

pihter ★★★★★
()
Ответ на: комментарий от Lorchanin

АААААА!!!!!! Все - газетаруфобы, а ТС стал Д'Артаньяном!

pihter ★★★★★
()

1) Недоучившиеся студиоузы-кульхацкеры из урюпинских радиотехнических университетов знают разницу между сервлетами и апплетами?

2) Содержимое файлов java.policy и java.security в студию.

3) Ссылка на мегавысер в авторитетнейшем источнике gazeta.ru - просто прелесть! :)

4) СтОит ли мне перестать слушать SACD на своём http://www.pioneer-rus.ru/ru/products/42/84/222/BDP-150-K/page.html (на второй картиночке символ Java Powered) и перейти на Ъ-нищебродские MP3 в чудо-колоночках «Джы-ы-ыниу-уз»???

Bioreactor ★★★★★
()
Последнее исправление: Bioreactor (всего исправлений: 1)

Эксплоит,

public static String ByteArrayWithSecOff = & #34;CAFEBABE0000003200270A000500180A0019001A07001B0A00 ...";

Чё это? На Джаву не похоже. Каковский язык?

Bioreactor ★★★★★
()
Ответ на: комментарий от Deleted

Это безграмотная писанина кульхацкера-недоучки, нарушающая все синтаксические правила Джавы, а не заголовок файла класса.

ПионЭр из Рашки_с_Любовью, запостивший этот кал, даже на знает структуру Джава-программы.

Bioreactor ★★★★★
()
Ответ на: комментарий от Deleted

посмотрел сплоит - не хакается

Deleted
()
Ответ на: комментарий от kerneliq

Я про оформление новости, а не тех часть.

tazhate ★★★★★
()
Ответ на: комментарий от Deleted

А теперь наберите import com.sun.jmx.mbeanserver.JmxMBeanServer;

(Даже подправив безграмотные конструкции ниже)

Ничего не смущает? А?

Ню-ню!

Bioreactor ★★★★★
()
Ответ на: комментарий от Siado

В Java обнаружена ошибка, которая делает java-plugin уязвимым (комментарий)

  Class localClass1 = localMBeanInstantiator.findClass("sun.org.mozilla.javascript.internal.Context", a);

      Class localClass2 = localMBeanInstantiator.findClass("sun.org.mozilla.javascript.internal.GeneratedClassLoader", a);

а в openjdk как я помню юзается голый rhino, причем в половине дистров он не запускается, а где запускается там можно попробовать этот сплоит доработать, но кому этот ваш линукс нужен?

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.