В сети выявлено (http://labs.alienvault.com/labs/index.php/2012/new-java-0day.../) вредоносное ПО, поражающее критическую 0-day уязвимость в Java JRE 7, исправления для которой пока не выпущено компанией Oracle. На основании анализа данного кода уже подготовлен и опубликован (https://community.rapid7.com/community/metasploit/blog/2012/...) рабочий эксплоит, позволяющий выполнить код при открытии специально оформленной страницы в браузере с Java-плагином.Ожидается, что указанный эксплоит в ближайшее время будет включён в состав набора BlackHole, используемого целым классом вредоносных программ для поражения клиентский машин. Примечательно, что выпуск очередного обновления Java c устранением уязвимостей запланирован компанией Oracle на 16 октября, поэтому если в экстренном порядке не будет выпущено внеплановое обновление все системы, использующие Java 7 будут не защищены от атаки ещё полтора месяца. До момента выхода обновления всем пользователям рекомендуется отключить Java-плагин в настройках браузера. Информация о наличии похожей проблемы в Java 6 пока не подтверждена, в текущем виде эксплоит не действует на Java 6.
Код, поражающий неизвестную уязвимость в Java, был выявлен (http://www.deependresearch.org/2012/08/java-7-0-day-vulnerab...) в результате анализа целевой атаки, которая была проведена для распространения вредоносного ПО Poison Ivy. Подготовленный по результатам исследования атаки эксплоит успешно протестирован при использовании Java 7 Update 6 в Windows 7 SP1 со всеми установленными обновлениями, а также для Firefox в Ubuntu Linux 10.04, Internet Explorer / Mozilla Firefox / Chrome / Opera в Windows XP/Vista/Windows 7, Safar в OS X 10.7.4.
URL: http://www.deependresearch.org/2012/08/java-7-0-day-vulnerab...
Новость: http://www.opennet.me/opennews/art.shtml?num=34669
Когда уже java плагин перестанет поддерживаться и будет выпилен окончательно?
Откуда нам знать, когда лично ты его уберешь из своего браузера. Подавляющее большинство сайтов яву не использует, хрен тебя знает зачем ты его держишь.
К сожаления DELL DRAC консоль работает через этот долбаный плагин. Там какой-то не стандартный vnc. Некоторые версии DRAC работают через vnc клиент, некоторые - нет.
И это печально.
у Supermicro тоже на JAVA remote console работает (
> у Supermicro тоже на JAVA remote console работает (Да вы кушайте ваши кактусы. И не забудьте сказать спасибо тем кто вас заставляет их жрать.
а глубокоуважаемый дон чем ремотные сервера админит? есси чо - aten|alusten и hp iLO тоже на жабе. как и интелёвый RMM[123]
JRE - принудительно в песочницу.
> JRE - принудительно в песочницу.Оно само по идее песочница :)
Поставил NoScript.
В данном случае поможет только NoFlash.
Почему это только? Adblock позволяет резать где не надо и разрешать там, где нужно.
Мсье знают толк в извращениях. Однако NoScript умеет давить вообще все мыслимые виды интерактивности, включая Java, Flash и прочие плагины. Он даже HTML5 audio/video давить умеет. То-есть он вырубает по дефолту вообще все что может шевелиться, а потом уже это можно явно разрешить. Если это надо.Выпиливать сие адблоком - просто извращение. Flashblock - нафиг не уперся при наличии NoScript, т.к. является субсетом оного.
...но лучше всего ява и флеш лечатся сносом этого "счасться" из браузера.
> Мсье знают толк в извращениях. Однако NoScript умеет давить вообще все мыслимые
> виды интерактивности, включая Java, Flash и прочие плагины. Он даже HTML5
> audio/video давить умеет. То-есть он вырубает по дефолту вообще все что
> может шевелиться, а потом уже это можно явно разрешить. Если это
> надо.
> Выпиливать сие адблоком - просто извращение. Flashblock - нафиг не уперся при
> наличии NoScript, т.к. является субсетом оного.
> ...но лучше всего ява и флеш лечатся сносом этого "счасться" из браузера.Полезны все эти дополнения, т.к. бывает необходимость разрешить работу скриптов на определенном сайте и при этом не смотреть назойливую вырвиглазную флеш-рекламу.
> при этом не смотреть назойливую вырвиглазную флеш-рекламу.А вот тут вступает в игру адблокплюс, в котором при правильной подборке подписок даже самому ничего делать не придется - реклама будет удавлена автоматически :). Да, этих двух достаточно чтобы полностью взять интерактивность под свой контроль.
Хотя честно говоря флеш имхо можно совсем удалить. Юутб и так работает, а кроме рекламы на флеше почти ничего и нет.
А если мне совершенно необходимо смотреть ТК «Дождь», и при этом ни один оператор с ним в своих пакетах услуг не дошёл до меня ещё? Я писал им, чтоб на Ютубе восстановили вещание. Толи они не читали, толи им это на#@$ не надо.
Пока в деревне Виллафоксо придумывают, какие расширения поставить для задавливания каждого плагина, в деревне Виллахромо нажимают кнопку "Запускать плагины по клику" и все работает...Хотя в деревне Виллахромо конкретно Java уже давно запускается только после вопроса "Запустить плагин Java на этом сайте? [Да/Нет/Да, всегда выполнять на этом сайте]".
Вообще-то в деревне Виллафоксо уже несколько веков как пользуются plugins.click_to_play = true.А разрешение на запуск жавы подключалось еще за несколько лет до того, как деревня Виллахромо вообще появилась в планах фермера Гуглетти.
>Вообще-то в деревне Виллафоксо уже несколько веков как пользуются plugins.click_to_play = trueТак надо кнопку приделать и уже все будет хорошо! Чего же выше в треде кто-то переживает? Или оно глючит?
>А разрешение на запуск жавы подключалось еще за несколько лет до того, как деревня Виллахромо вообще появилась в планах фермера Гуглетти.
Дык, к Файрфоксу все что хочешь "можно подключить". Правда, и компилятор языка C можно расширить до веб-браузера...
Вы тупите и толстите. Всего лишь изменить настройку по умолчанию.Впрочем на мой взгляд это лучше было оставить для аддонов, а не тащить все в базовую функциональность.
> Вообще-то в деревне Виллафоксо уже несколько веков как пользуются plugins.click_to_play = true....которое по одному клику на заинтересовавшей Flash-врезке включает ВСЕ врезки на странице. Нафик такое надо?
> плагина, в деревне Виллахромо нажимают кнопку "Запускать плагины по клику"Вот только адблокер у них там кривой, настроек под себя - почти нет, зато дефолты очень вражественные в пользу гугла и до начала использования надо выковырять 100500 зондов. Не говоря уж о том что долбучие гуглоаккаунты всучивают с просто феноменальной наглостью. Тут вам и какая-то печать через интернет, через неведомые конторы которые я никогда не видел и вообще у меня свой принтер есть. И синхра только через гугл и никак иначе, и эксклюзивные вебприложения работающие только в хроме. Где-то я это уже видел. Интернет эксплорером называлось.
У кого-то еще стоит джаваплагин?
У меня стоит. А еще браузер принудительно запущен в песочнице, в которой запрещен запуск любых других программ. Так что если и пробьют эксплоитом, то вредоносная начинка просто не запустится.
> то вредоносная начинка просто не запустится.Чего бы это ради? Эксплойт - это уже выполняющийся хакерский код. То что он в принципе может докачать какие-то еще файлы - ну может, да. Но это опционально. Как минимум, хакерский код дополняет собой поломанный процесс и может от его лица бесчинствовать с правами этого процесса.
Example: половина MSBlast-образных вирусов - бестелесные и существуют в виде только сетевого пакета эксплойтируюшего дырявый сервис и в виде кода в оперативке в контексте поломанного процесса. А записью на диск половина этой дряни вообще не заморачивается. А нафига?
>А нафига?Что бы запуститься после перезагрузки
> Что бы запуститься после перезагрузки1) Самоцелью не является.
2) Эй, граммар-наци, кроме вашего нерадивого коллеги тут еще один пациент нарисовался. Тащи ружье! Хотя тут похоже пулемет понадобится, не меньше.
> Тащи ружье! Хотя тут похоже пулемет понадобится, не меньше.ничего, мы им билеты на морской круиз дарить будем.
> ничего, мы им билеты на морской круиз дарить будем.В Сомали чтоли? :)
>> ничего, мы им билеты на морской круиз дарить будем.
> В Сомали чтоли? :)нет, я на анекдот намекал. который «знали бы вы, сколько я вас тут собирал!»
> У меня стоит. А еще браузер принудительно запущен в песочнице, в которой
> запрещен запуск любых других программ. Так что если и пробьют эксплоитом,
> то вредоносная начинка просто не запустится.что, и для каждого сайта, где ты зарегистрирован, песочница отдельная? если нет, то ты плохой, негодный параноик.
> ты плохой, негодный параноик.Кэп сегодня в ударе! Epic! :D
> А еще браузер принудительно запущен в песочнице,Купи медаль, а мне пофигу откуда слать спам или учавствовать в ДДОС, - хоть из песочницы,
хоть из теплицы, хоть из вакуума.... :-P
ну и шли себе. с современным анлимом.
главное чтобы ничего не ломал. :D
да вы батенька меценат...
Скорее мазохист, подставлять свой зад под ментовские бутылки вместо педобиров, экстемистов и киддисов, гоняющих свой трафик через него.
глупости, половина вантузятников так и живёт.
спам - проблема и головная боль прова.
> ну и шли себе. с современным анлимом.Зато ваш айпи а то и подсетка попадет в BLы и после этого проблемы будут уже у вас. Когда половина сайтов будет просто невнятно посылать вас, почта от вас станет люто не велкам везде, ну и так далее. А всего-то ничего: попали в BL как вредный IP или подсеть. Достаточно много систем используют BLы чтобы оградить себя от подобной активности. Со всемы вытекающими.
> главное чтобы ничего не ломал. :D
А вот это уже не факт. Могут и просто проксь для своих черных дел повесить. А вы потом и отдувайтесь за чужие злодеяния. А что, с вашего же айпишника.
> Достаточно много систем используют BLы чтобы оградить себя от подобной активности.и это хорошо: сразу ясно, какие ресурсы можно смело заносить в бан-лист: всё равно там сидят идиоты.
> и это хорошо: сразу ясно, какие ресурсы можно смело заносить в бан-лист:
> всё равно там сидят идиоты.О, мсье предпочитает спам, абузивное поведение и хакерские атаки? :)
> О, мсье предпочитает спам, абузивное поведение и хакерские атаки? :)мсье предпочитает не пользоваться ресурсами, где админы лишены головного мозга.
также почтовый сервер мсье находился во всех возможных спамлистах, потому что почти неделю спамил. к сожалению, я не нашёл другого метода попасть в спам-листы. и почту от серверов, у которых через пол-года записи не протухли, я не беру, например.
p.s. спамил не я, конечно, просто сделал open relay.
>и это хорошо: сразу ясно, какие ресурсы можно смело заносить в бан-лист: всё равно там сидят идиоты.ага, заноси. :D
мне то пох, мы с тобой у одного прова пришвартованы.
> мне то пох, мы с тобой у одного прова пришвартованы.это только твои влажные мечты.
> DDOS
> IPВзаимоисключающие параграфы детектед
NoScript в режиме тотального блокирования всех плагинов решает:
- запретить java;
- запретить прочие плагины;
- применять эти ограничения и для доверенных сайтов.
> - запретить java;
> - запретить прочие плагины;
> - применять эти ограничения и для доверенных сайтов....только при таком режиме проще сразу снести яву и прочие плагины. В конце концов, если они запрещены всегда то нафига б вам куча глючных и дырявых плагинов до которых дело не доходит? :)
> NoScript в режиме тотального блокирования всех плагинов решает:
> - запретить java;
> - запретить прочие плагины;
> - применять эти ограничения и для доверенных сайтов.Так и живу.
Зачем ты своим ником палишь чьи-то пароли?
> Зачем ты своим ником палишь чьи-то пароли?Наверное затем что незачем свои пароли всему интернету светить :)
А что мешает временно отключить? Надо заюзать, включил, сделал что надо, выключил?
В фоксе всё собираются ввести возможность временного/постоянного включения для конкретного сайта при выключенном нормальном состоянии.
> В фоксе всё собираются ввести возможность временного/постоянного включения для конкретного
> сайта при выключенном нормальном состоянии.В опере давно уже реализовано.
> В опере давно уже реализовано.В хромом тоже. И шо?
Казалось бы, при чём тут линукс и свободное ПО? Все нормальные дистрибутивы (Fedora, Rhel, Centos, OpenSuse, Debian, Ubuntu) уже несколько лет назад перешли на OpenJDK и IcedTea, у которых другая кодовая база, не подверженная оракловским дырам. А Ubuntu с своё время вообще выкинула оракловскую яву даже из партнёрского репозитария после тормозов оракла по закрытию критических уязвимостей.Классика OpenNet: вендузятники в комментах палятся на съеденном виндой мозге.
> Казалось бы, при чём тут линукс и свободное ПО? Все нормальные дистрибутивы
> (Fedora, Rhel, Centos, OpenSuse, Debian, Ubuntu) уже несколько лет назад перешли
> на OpenJDK и IcedTea, у которых другая кодовая база, не подверженная
> оракловским дырам. А Ubuntu с своё время вообще выкинула оракловскую яву
> даже из партнёрского репозитария после тормозов оракла по закрытию критических уязвимостей.
> Классика OpenNet: вендузятники в комментах палятся на съеденном виндой мозге.У меня вот в Ubuntu 12.04 установлена именно Oracle Java 7. Я сам её туда вкатил когда однажды захотелось посмотреть на один сервис облачных игр. Не работал он со сторонними реализациями джавы. А потом ещё и по-работе пригодилось из-за упоротого корпоративного VPNа у пары клиентов, который тоже видеть и знать не желал о том, что Java-плагин может быть не оракловским (даже в OpenJDK не работало). Это, конечно, замечательно, что существуют сторонние реализации Java, да вот только мало кто на их существование обращает внимание. Работает — хорошо, не работает — ну да и хрен с ними, скачают «нормальный».
Одно хорошо — по-умолчанию этот плагин у меня выключен.
BTW, бро, на сколько мне известно Oracle Java 7 основана на OpenJDK и говорить о том, что последнее не подвержено тем же дырам несколько опрометчиво. Так что всем пользователям OpenJDK лучше вырубить его от греха подальше если ещё не.
> Не работал он со сторонними реализациями джавы.Написано однажды - работает везде! :-D
Ну, проблема здесь та же, что и с совместимостью приложений между версиями винды: использование проприетарных/недокументированных АПИ криворукими программерами.
> Ну, проблема здесь та же, что и с совместимостью приложений между версиями
> винды: использование проприетарных/недокументированных АПИ криворукими программерами.Пожалуй самой упоротой софтиной, что я видел на Java, был BusinessObject WebIntelligence редактор отчётов. Эта гениальная программа более-менее нормально работает лишь в одной устаревшей версии Java 6й ветки. Т.е. она не работает даже в свежих багфикс-релизах этой ветки!
У жабистов такой булщит - норма жизни. Ынтырпрайз во все поля. Я как-то видел нечто от ибм. Так оно мало того что работало только с ибмовской явой, так еще и эта ява ловила эксепшн где-то в кишках своего рантайма. Ну пипец, айбиэмщики свой софт даже запускать не пробуют до того как в релиз вывалить.
Oracle java имеет лицензию на дистрибьюцию запрещающую распространение где-либо, кроме официального сайта. Sun java, о которой вы говорите, не обновляется, и ее отовсюду убрали. При чем здесь ubuntu?
>Все нормальные дистрибутивы (Fedora, Rhel, Centos, OpenSuse, Debian, Ubuntu) уже несколько лет назад перешли на OpenJDK и IcedTea, у которых другая кодовая база, не подверженная оракловским дырам.Зато у них есть свои дыры. И не понимать этого — всё равно что становиться в ряд «виндузятников со съеденным мозгом».
аха.. ещё бы всякие ilo/kvm от серверов типа hp работали на openjdk...
> аха.. ещё бы всякие ilo/kvm от серверов типа hp работали на openjdk...Покупаем Dell - никаких Java, только ipmitool.
>> аха.. ещё бы всякие ilo/kvm от серверов типа hp работали на openjdk...
> Покупаем Dell - никаких Java, только ipmitool.ipmitool -- это только BMC, а реализуемый на SP iKVM он совсем не умеет, к сожалению.
Из всего, что на эту тему не очень поспешно было найдено, могу упомянуть ftp://ftp.supermicro.com/utility/IPMIView/ и то, что у Fujitsu трудами знакомых есть java-аплет (не webstart-приложение), умеющий ходить к сервис-процессору.
Так что лучше сразу заготавливать и проверять SoL для ipmitool, благо у нас-то текст ;)
>Казалось бы, при чём тут линукс и свободное ПО? Все нормальные дистрибутивы (Fedora, Rhel, Centos, OpenSuse, Debian, Ubuntu) уже несколько лет назад перешли на OpenJDK и IcedTeaУчите мат.часть. Java7 на OpenJDK.
Это ты палишься, отождествляя _открытые системы_ с линуксом.
Ну вот когда у меня нарисовалась необходимость иметь дело с клиент-банком на джаве - даже в голову не пришло ставить что-то кроме оракловской шестерки - потому что я прекрасно понимал, под что этот клиент-банк был писан, а ловить в таком софте баги - нет уж, я как-нибудь переживу без такого счастья. Хотя да, плагин включаю по необходимости.Благо гента с пользователем не борется, так что поставить было не особы геморроем (но геморроем - из-за лицензии ручками качать пришлось с сайта Оракла)
все потенциальные владельцы «умных домов» из соседней новости должны быть в восторге. особенно от оперативной реакции оракеля.вот это дело, это серьёзный подход от серьёзной корпорации! не то, что красноглазики-нищеброды: суетятся под клиентом, суток не прошло толком — уже дырку в ядре запатчили.
А ничего, что это дыра в плагине для браузера, а в тех умных домах Java только на сервере?
> А ничего, что это дыра в плагине для браузера, а в тех
> умных домах Java только на сервере?Но как индикатор отношения к делу - вполне себе. Пользуйтесь явой в умных домах. А лучше сразу в системе управления вашего авто - так эволюция быстрее пойдет :)
Нормально спроектированный умный дом вообще не зависит в своем функционировании от компа, который общается с пользователем. Все критичные функции берут на себя железки, в которых не то что явы - даже операционки полноценной часто нет (и уж точно она наружу не видна), зато есть куча защит и реалтаймовая реакция. Об автомобиле и говорить нечего.Так что огреси можно только если специально кто-то нацелится покалечить настройки вашего умного дома или автомобиля - но это уже совсем целенаправленная атака должна быть, отнюдь не китайские взломщики-автоматы.
Всё вышесказанное идиотизма и тормозности оракла не отменяет, конечно.
> Нормально спроектированный умный дом вообще не зависит в своем функционировании от компа,
> который общается с пользователем.Спасибо, Кэп. Вот именно поэтому вся эта ынтырпрайзятина на яве нафиг не уперлась. У железок обычно тривиальные протоколы, etc. А по минимуму, простите, даже сам raspberry pi или кто там подобный по смыслу может лапкой дернуть на GPIO. Это зависимость от компа или нет? А то у тех железок микроконтроллер - он тоже комп. Только совсем мелкий. В какой момент оно перестает считаться компом? А то общие принципы устройства у них всех одинаковы :)
>все те. кто сейчас предложил выпилить яву по причине уязвимости, сразу откажутся от линуха, как только будет опубликован эксплойт, использующий ещё незакрытую уязвимость?Незакрытую уязвимость чего?
Ошибка в сетевом сервисе? Отключат, если не критично, ограничат доступ определёнными IP, если возможно, поместят в chroot, если ещё не поместили, прикроют каким-нибудь прокси.
Локальная уязвимость в suid-программе? Снять с неё на время suid-бит. Дождаться обновлений, включить обратно.
Когда у человека гангрена, отрезают не всё тело от головы, а только поражённый участок конечности.
> Локальная уязвимость в suid-программе? Снять с неё на время suid-бит. Дождаться обновлений, включить обратно.У Вас на браузере стоит suid-бит? Если нет тогда за чем сравнивать?
> Ошибка в сетевом сервисе? Отключат, если не критично, ограничат доступ определёнными IP, если возможно, поместят в chroot, если ещё не поместили, прикроют каким-нибудь прокси.
Что мешает сделать тоже самое для Java сервера?
> Что мешает сделать тоже самое для Java сервера?- голова мешает, зачем ставить на свой сервер эксплоит, который умеет скачивать что-то с внешних адресов? (серверная Java обычно работает вне "песочницы", в связи с чем и так может скачать что угодно откуда угодно). Фактически эксплоит актуален именно для браузеров, так как позволяет обойти одно из ограничений "песочницы" JVM (я не спец по флэшу, но думаю что у него такого ограничения отродясь не было)
> из ограничений "песочницы" JVM (я не спец по флэшу, но думаю
> что у него такого ограничения отродясь не было)Флеш просто сам по себе достаточно ограниченный в плане предоставляемых услуг. Что не мешает ему иметь 100500 дыр в силу общего низкого качества кода от адобы и тормознутой реакции на сведения о уязвимостях.
Если мозилла и хром платят за информацию о дырах и дыры с регулярностью чартерных рейсов сливают прямо им а не на черный рынок, то ни оракл, ни адоб, ни прочие проприерасты такой практикой похвастать не могут. По поводу чего получают сплойтом в бубен и узнают о дырке последними. В конце концов, те кто зеленел в дебагере неделями и прочая - тоже денег за свою работу хотят. Не хотите платить - вступает в действие черный рынок, который хочет и платит.
У флеша это ограничение много лет как. Реализуется следующим образом: чтобы что-то сделать с любым доменом, кроме собственного, плагин пытается скачать с него файл политики, в котором детально указано, что кому можно - коду с каких доменов, на какие порты можно ходить и т.п. В общем, механизм мощный и давно отлаженный, в HTTP только с появлением CORS что-то такое есть.
Печально то что именно java плагин до сих пор юзается в энтерпрайзе.
> Печально то что именно java плагин до сих пор юзается в энтерпрайзе.- печально что кто-то использует энтерпрайз в десктопе, так как уязвимость актуальна для запуска вредоносного апплета в браузере
Энтерпрайзу пофигу на уязвимости. Апплет на апплете и апплетом погоняет, и клиент счастлив.
JavaScript тоже небезопасен. Да и браузеры сами по себе тоже содержат кучу дыр. И что теперь, не выходить в интернет?
> JavaScript тоже небезопасен.Вот только мозилла и хром за дырки приплачивают и поэтому обычно дыру первым делом им и рапортуют. А тут наоборот: сначала разнесут все что шевелится сплойтами, а потом уже чинить начинают.
Кэп намекает что есть небольшая разница между детектированием летящей в вас ракеты и сшибанием оной активной защитой до того как она все разнесет и обнаружением ракеты по факту обнаружения дымящихся развалиню. Разница? В одном случае дымящихся руин нет. Во втором - естьл.
>Вот только мозилла и хром за дырки приплачивают и поэтому обычно дыру первым делом им и рапортуют.а тут отрапортуешь, так ещё и посодют.
Все эти ваши комментарии конечно забавное чтиво, но объясните пожалуйста, как может код поражать уязвимость?
легко.
у касперского можешь спросить.
птч 7u7 уже вышел