URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 86636
[ Назад ]

Исходное сообщение
"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено opennews , 26-Сен-12 11:15

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший (http://www.opennet.me/opennews/art.shtml?num=34696) серию нашумевших уязвимостей в Java SE, опубликовал (http://seclists.org/bugtraq/2012/Sep/109) информацию о новой неисправленной критической уязвимости, проявляющейся во всех версиях Java SE 5, 6 и 7, независимо от используемой операционной системы. Проблема позволяет выполнить код в системе в обход всех уровней изоляции виртуальной машины Java. Прототип эксплоита, который пока не опубликован в открытом доступе, успешно протестирован (http://blogs.computerworld.com/malware-and-vulnerabilities/2...) для браузерного Java-плагина совместно с последними выпусками браузеров Chrome, Firefox, Internet Explorer, Opera и Safari.

Компании Oracle уже сообщены все технические детали проблемы и передан рабочий эксплоит. Отмечается, что новая уязвимость приурочена к конференции JavaOne, которая состоится 30 сентября. Опасность проблемы усугубляется том, что она не ограничивается только Java 7 и успешно проявляется в ветках Java 5 и 6.
URL: http://seclists.org/bugtraq/2012/Sep/109
Новость: http://www.opennet.me/opennews/art.shtml?num=34936

Содержание

Новая критическая уязвимость в Java SE 5, 6 и 7,Zenitur, 11:43 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 11:49 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,h31, 14:55 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,Клим, 18:19 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 11:45 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 11:53 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,rainerate, 11:57 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,brzm, 12:01 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 13:42 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,YetAnotherOnanym, 21:34 , 26-Сен-12
  - Новая критическая уязвимость в Java SE 5, 6 и 7,Crazy Alex, 22:54 , 26-Сен-12
    - Новая критическая уязвимость в Java SE 5, 6 и 7,iZEN, 23:08 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,Crazy Alex, 22:53 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 12:13 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,Stocker, 12:22 , 26-Сен-12
  - Новая критическая уязвимость в Java SE 5, 6 и 7,iZEN, 14:05 , 26-Сен-12
    - Новая критическая уязвимость в Java SE 5, 6 и 7,ВовкаОсиист, 15:56 , 26-Сен-12
      - Новая критическая уязвимость в Java SE 5, 6 и 7,iZEN, 22:09 , 26-Сен-12
      - Новая критическая уязвимость в Java SE 5, 6 и 7,ang, 09:54 , 27-Сен-12
    - Новая критическая уязвимость в Java SE 5, 6 и 7,Z, 06:10 , 27-Сен-12
  - Новая критическая уязвимость в Java SE 5, 6 и 7,toany, 14:35 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 12:23 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,ананим, 12:37 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,Аноним, 13:13 , 26-Сен-12
  - Новая критическая уязвимость в Java SE 5, 6 и 7,ананим, 14:39 , 26-Сен-12
- Новая критическая уязвимость в Java SE 5, 6 и 7,mine, 13:14 , 26-Сен-12
  - Новая критическая уязвимость в Java SE 5, 6 и 7,ананим, 14:40 , 26-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,q, 17:21 , 27-Сен-12
Новая критическая уязвимость в Java SE 5, 6 и 7,fantom, 10:45 , 03-Окт-12

Сообщения в этом обсуждении

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Zenitur , 26-Сен-12 11:43

В лицензионном minecraft можно эксплуатировать?

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 11:49

Только в убунту.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено h31 , 26-Сен-12 14:55

Только в апплетах. Обычных программ дырка не касается — они и так все права получают.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Клим , 26-Сен-12 18:19

надеюсь, что да

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 11:45

Ничего не поделаешь, это фл... java.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 11:53

я яву уже как года 2 не ставлю, еще тогда у меня было плохое предчувствие... нечисть какая то...

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено rainerate , 26-Сен-12 11:57

А это, java, она вообще зачем?

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено brzm , 26-Сен-12 12:01

Например для этого http://www.supermicro.com/products/nfo/ipmi.cfm или этого http://www.aten.com/data/edm/2007_form/over_the_net/edm.htm

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 13:42

Многие вебморды используют, кое-какой софт на ней написан (tuxguitar, i2p, freenet из того с чем может столкнуться простой пользователь). Ну и в ынтерпрайзе его любят.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено YetAnotherOnanym , 26-Сен-12 21:34

OpenOffice? Нет, не слышал.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Crazy Alex , 26-Сен-12 22:54

Вот как раз зачем она там - загадка природы. Такое впечатление, что сан её туда вкрутил чтобы была.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено iZEN , 26-Сен-12 23:08

> Вот как раз зачем она там - загадка природы. Такое впечатление, что
> сан её туда вкрутил чтобы была.
Для импорта данных через JDBC в табличный процессор. Многие СУБД поддерживают JDBC-драйвер Type-4, который написан на Java и не нуждается в нативных обёртках.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Crazy Alex , 26-Сен-12 22:53

Да много для чего... В области AI, например, пости всё на ней пишется, если брать софт для системной инженерии или управления знаниями - опять практически только она, графовые БД - все как одна на джаве...

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 12:13

Интересно, OpenJDK это касается?

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Stocker , 26-Сен-12 12:22

Можно сказать что нет, так как там плагин и так не работает и им никто не пользуется.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено iZEN , 26-Сен-12 14:05

Почему у вас плагин не работает, а вы за всех отвечаете?
Я пользуюсь icedtea-web-1.3 с openjdk6-b25 и firefox-15.0.1. Система FreeBSD 9.1-PRERELEASE. Апплеты работают.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено ВовкаОсиист , 26-Сен-12 15:56

> Система FreeBSD
Сeрьёзн... Вы не шутите????

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено iZEN , 26-Сен-12 22:09

>> Система FreeBSD
> Сeрьёзн... Вы не шутите????
Зачем мне шутить?

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено ang , 27-Сен-12 09:54

>> Система FreeBSD
> Сeрьёзн... Вы не шутите????
А в чём прикол? А то у меня работает примерно в такой же конфигурации.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Z , 27-Сен-12 06:10

> icedtea-web-1.3 с openjdk6-b25 и firefox-15.0.1. Система FreeBSD 9.1-PRERELEASE.
Уверен, что даже тут присутствующие не все знают значение этих слов. Ну, а обычные пользователи, которых гораздо больше и которых уязвимость в Java апплетах может коснуться, вообще не поймут о чем это...

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено toany , 26-Сен-12 14:35

поддерживаю, сам пользуюсь Ubuntu 12.04 на PowerPC и OpenJDK, плагин установлен в аналогичной комплектации - аплеты работают.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 12:23

А что, кто-то сомневался что в таком монструозном переростке навалом багов будет? Большим программам - большие баги!

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено ананим , 26-Сен-12 12:37

> Отмечается, что новая уязвимость приурочена к конференции JavaOne, которая состоится 30 сентября.
Обычно к словам не придираюсь, но тут долго ржал.
Теперь дырки в продуктах специально к торжествам закладывают. При чём лет на 5-10 вперёд.:D

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено Аноним , 26-Сен-12 13:13

Не закладывают, а откладывают публикацию о них, до ближайшего громкого события чтобы больнее ударить. Как с взломом kernel.org например явно приуроченом в юбилею линукса.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено ананим , 26-Сен-12 14:39

Ну да, прямо заговор какой-то.
Остаётся только доказать что злопыхатели сами эти уязвимости встроили и мешали их 10 лет обнаружить.

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено mine , 26-Сен-12 13:14

Это Оракл. Почувствуй энтерпрайз, детка... =)

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено ананим , 26-Сен-12 14:40

Не, это русский язык, малышка. :D

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено q , 27-Сен-12 17:21

Чтото както хреного в джавой. Чтото часто находят у неё дыры безопасности. Я так понимаю уже нет безопасный технологий? Существуют ли джава машины на Оракловские, которые более безопасны?

"Новая критическая уязвимость в Java SE 5, 6 и 7"
Отправлено fantom , 03-Окт-12 10:45

Существуют! мотоцыклы такие были!
В плане IT они более безопасны, но вот для здоровья - вредно ;)