URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 65749
[ Назад ]
Исходное сообщение
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено opennews , 10-Апр-10 13:59 
В фреймворке Java Web Start найдена (http://seclists.org/fulldisclosure/2010/Apr/119) серьезная уязвимость, позволяющая злоумышленнику получить контроль над системой при открытии в любом  web-браузере с включенной поддержкой Java специально оформленной страницы. Проблема вызвана некорректной проверкой параметров, передаваемых JavaWS через командную строку, при этом эти параметры можно изменить (http://www.reversemode.com/index.php?option=com_content&task...) через HTML-тег "object".


По заявлению обнаруживших проблему исследователей, уязвимость присутствует в коде Java уже много лет. В настоящий момент наличие проблемы подтверждено только в Windows, скорее всего другие платформы не подвержены данной уязвимости. Исправления пока не выпущены, проблема отнесена к категории 0day-уязвимостей.

URL: http://threatpost.com/en_us/blogs/serious-new-java-flaw-affe...
Новость: http://www.opennet.me/opennews/art.shtml?num=26178

Содержание
Сообщения в этом обсуждении
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено RLC , 10-Апр-10 13:59 
ахренеть! а такая классная штука эта Java WEB Start!! так удобно с помощью неё приложения распространять!  Никак не исправят! они чё там не чешуться что ли в Этом Оракле!!!
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено аноним , 10-Апр-10 14:15 
Просто надо понять что софт и web несовместимы, и никогда не станут.
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено szh , 10-Апр-10 16:07 
просто тебе надо понять что совместимы, и уже давно.
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено User294 , 10-Апр-10 19:28 
Доказано хацкерами засравшими все своей малварью? :) ИМХО, все эти навороты типа явы - нафиг не нужны. Один гемор только. И приваси факапнуть может, и структуру внутренней сети до некоторой степени может изучить, и вот такие вот прикольные фортели. Ссыкотнее явы только нативные бинарники с порносайта запускать. Кстати появились самоходные троянчики на яве. Да, запускаются благодаря некоторому тупняку юзера, но в конечном итоге - под симбиан вирье распостранялось точно так же.
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено iZEN , 12-Апр-10 18:01 
>Ссыкотнее явы только нативные бинарники с
>порносайта запускать. Кстати появились самоходные троянчики на яве. Да, запускаются благодаря
>некоторому тупняку юзера, но в конечном итоге - под симбиан вирье
>распостранялось точно так же.

Опять ты не различаешь JavaScript и Java.


"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено я , 10-Апр-10 14:31 
так если про эту уязвимость только вчера узнала общественность и производитель.. как они могут успеть?
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено Аноним , 10-Апр-10 17:39 
Версия под Linux тоже уязвима:(
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено anonymous , 10-Апр-10 21:47 
Правоверные линуксоиды в веб из под рута не лазают ;)
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено dry , 11-Апр-10 11:27 
это не аргумент.
иногда компрометация пользовательского аккаунта ничуть не менее опасна чем компроментация системы.
"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено iZEN , 12-Апр-10 18:00 
Уязвимости подвержена только проприетарная Java SE.

OpenJDK6 и OpenJDK7 уязвимости не подвержены, поскольку в них отсутствуют плагины для запуска апплетов в браузере— злонамеренный код на JavaScript  ничего не сможет сделать.

"Критическая уязвимость в Java, эксплуатируемая через браузер"
Отправлено Аноним , 02-Май-10 12:50 
http://www.veatek.ru/full/lp_tlp_2844/
http://www.sarssp.ru/stps/