Спустя чуть больше недели с момента выхода (http://www.opennet.me/opennews/art.shtml?num=36165) корректирующих обновлений Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей, в Сети зафиксирована (http://blog.fireeye.com/research/2013/02/yaj0-yet-another-ja...) вредоносная активность, поражающая системы пользователей через ранее неизвестную 0-day уязвимость (CVE-2013-1493) в браузерном Java-плагине. Уязвимость используется для распространения вредоносного ПО McRAT, поражающего Windows-системы при открытии специально модифицированных страниц на подконтрольных злоумышленникам сайтах.
Уязвимость позволяет осуществить запись и чтение произвольных областей памяти JVM. В процессе эксплуатации осуществляется поиск области памяти, в которой хранятся внутренние структуры данных JVM, после чего осуществляется обнуление участков данных областей с целью дезактивации менеджера безопасности. После успешной эксплуатации, под видом изображения осуществляется загрузка исполняемого файла McRAT и попытка его запуска.Кроме того, имеется информация о включении нового 0-day эксплоита в типовые комплекты для совершения атак. Интересно, что распространяемый с использованием 0-day эксплоита троян Trojan.Naid, подписан (http://www.symantec.com/connect/blogs/latest-java-zero-day-s...) с использованием корректного сертификата, полученного в результате атаки (https://blog.bit9.com/2013/02/25/bit9-security-incident-update/) на инфраструктуру Bit9. До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.
URL: http://www.symantec.com/connect/blogs/latest-java-zero-day-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=36270
Ну не везёт просто и всё. А ведь всего-то что надо? Просто поменять лицензию на GNU GPL 3. И отпустит.
> Ну не везёт просто и всё. А ведь всего-то что надо? Просто поменять лицензию на GNU GPL 3. И отпустит.А чем вам лицензия GPLv2, под которой сейчас распространяется код Java, не нравится ?
> А чем вам лицензия GPLv2, под которой сейчас распространяется код Java, не нравится ?Там скорее проблема в том что ява нужна только огромным ынтырпрайзникам, а сообществу такое малоинтересно. Тем более что оракл своей политикой его поразогнал. Ну а сами они соответствовать современным запросам к оперативности реагирования оказались тупо не в состоянии.
P.S. между прочим, через прошлые 0day взломали компьютеры как минимум в эппле, фэйсбуке и майкрософте, не говоря уж о толпе менее значимых птиц :)
> P.S. между прочим, через прошлые 0day взломали компьютеры как минимум в эппле, фэйсбуке и майкрософте, не говоря уж о толпе менее значимых птиц :)Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты просто поболтать ерундой вышел.
> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты
> просто поболтать ерундой вышел.Facebook was first to report a successful intrusion on its networks, then it was Apple's turn, followed by software giant Microsoft. A popular iPhone development Web site suffered a malware injection attack which led to visitors of the site with vulnerable Java software installed being infected.
http://www.zdnet.com/oracle-investigating-after-two-more-jav.../
>> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты
>> просто поболтать ерундой вышел.
> Facebook was first to report a successful intrusion on its networks, then
> it was Apple's turn, followed by software giant Microsoft. A popular
> iPhone development Web site suffered a malware injection attack which led
> to visitors of the site with vulnerable Java software installed being
> infected.
> http://www.zdnet.com/oracle-investigating-after-two-more-jav.../Спасибо, брат Аноним.
> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты просто поболтать ерундой вышел.Вах, вах, вах кто это у нас тут из дикого леса приперся? Это новость о взломе аппл, фэйсбуке и майкрософте, последнии кстати открыто заявили, что их маки тоже пострадали, есть на кучи сайтов, не заметить ее может только тот кто не умеет или не хочет читать. Уверяю вас в том что не надо быть семипядей в лбу чтобы догадаться, что может быть и на винде, и на osx уязвимым, при том, что везде, не только на сайта безопасности, чуть ли не каждую неделю появляются новости об очередной удаленной уязвимости жабы, и так сказать контрольный в голову, а кто любит жабу, как не иынтерпрайз? Так что в следущий раз выйдя из лесу, потрудитесь сами не болтать ерунду, здесь все же юмористический сайт.
Уууууууууууу, скока букав и экспрессии, удивительно на что способен человек как таковой и Vaso в частности !!!Достаточно было одной-двух ссылок, а рассказы про "лес" можно было и вовсе опустить. Так что - "низачот".
> Слухай, брат Аноним, ты или ссылкой делисьАть! http://thenextweb.com/apple/2013/02/19/apple-attacked-by-hac.../
Ать! http://thenextweb.com/facebook/2013/02/15/facebook-java-expl.../
Ать! http://thenextweb.com/microsoft/2013/02/23/microsoft-suffers.../
>> Слухай, брат Аноним, ты или ссылкой делись
> Ать! http://thenextweb.com/apple/2013/02/19/apple-attacked-by-hac.../
> Ать! http://thenextweb.com/facebook/2013/02/15/facebook-java-expl.../
> Ать! http://thenextweb.com/microsoft/2013/02/23/microsoft-suffers.../Спасибо, брат Аноним.
> Ну не везёт просто и всё. А ведь всего-то что надо? Просто
> поменять лицензию на GNU GPL 3. И отпустит.И чем в контексте уязвимостей в Java GPLv3 может помочь, что не может GPLv2 ?
покажите мне исходники Java SE 7 Update 15
ну как бы http://hg.openjdk.java.net/jdk7u/jdk7u
> ну как бы http://hg.openjdk.java.net/jdk7u/jdk7u
42 hours ago katleman Added tag jdk7u14-b14 for changeset bb97ad0c9e5a default tipПросветите меня тёмного, у них что, действительно всё _так_ плохо, и 'b14' - это 'Update 15'??
> Просветите меня тёмного, у них что, действительно всё _так_ плохо, и 'b14' - это 'Update 15'??Вы на цифры не смотрите, это разные выпуски и разная схема нумерации. OpenJDK 7u14 в разработке и запланирован на апрель. И он никаким образом не пересекается с Oracle JDK 7u14.
http://openjdk.java.net/projects/jdk7u/qanda.htmlWhen will this Project receive security fixes from Oracle?
The schedule for Oracle Java SE Critical Patch Updates is publicly available.
Security fixes for this Project's source code will be made available in the JDK 7 Update Project around the same time as they're released in products from Oracle.
навряд ли. Там тупо очень много кода. Мегакомбайны и вещи в себе порочны
> навряд ли. Там тупо очень много кода. Мегакомбайны и вещи в себе
> порочныВы наверное сильно удивитесь, но Oracle JDK 7 изначально собирается из открытого OpenJDK.
> Вы наверное сильно удивитесь, но Oracle JDK 7 изначально собирается из открытого OpenJDK.Это не отменяет того что там много кода. А учитывая склонность корпораций к наему недорогих быдлокодеров по экономическим причинам - наивно ожидать высокого качества такого кода.
Результат очевиден: много кода при посредственном качестве == дофига багов, включая и баги так или иначе ведущие к уязвимостям.
А может наоборот везет? С каждой исправленной уязвимостью их остается все меньше. Я сомневаюсь, что Adobe Flash надежнее и безопаснее, но внимания к нему почему-то меньше.
applet надо бы давно запретить
как задолбало эти чортавы клиент-банки обновлять!!! ((((
Сочувствую. (пошли к черту).
> Сочувствую. (пошли к черту).(пошли меня к чету!) ))))
>> Сочувствую. (пошли к черту).
> (пошли меня к чету!) ))))Сегодня же пятница! Маленький хелловин )))
> (пошли меня к чету!) ))))А можно и к нечету.
> как задолбало эти чортавы клиент-банки обновлять!!! ((((Обновлять легко! Главное чтобы самопальных костылей не было.
Скоро словом JAVA будут пугать детишек.
только апплетами)
Просто про апплеты мы знаем, их активней ищут, она на виду и слуху, т.к. затрагивают миллионы."Есть мнение" (С), что остальная явка не менее дырява.
“Есть всего 2 типа языков: те, на которые все жалуются и те, которыми никто не пользуется”, — Бьерн Страуструп.
> “Есть всего 2 типа языков: те, на которые все жалуются и те,
> которыми никто не пользуется”, — Бьерн Страуструп.Но столько ремотно эксплойтабельных дыр через которые натурально факапают пользователей - есть не у всех.
ага, что ещё остаётся говорить отцу уродца
То то ты постоянно на с++ истерически жалуешься, ггг
Прямо такое ощущение, что какой-то ненавидящий оракл хакер припас пачку эксплоитов и теперь по одному их выдавливает. Как оракл раскачегарится, зарегистрирует проблему, осознает важность, сделает фикс, протестирует, выпустит, а тут хакер - оп-па - очередной эксплоит из шапки вытаскивает!Кстати, раньше этот хакер ненавидел adobe за его флеш. Но теперь оракл его раздражает больше.
> Прямо такое ощущение, что какой-то ненавидящий оракл хакер припас пачку эксплоитовПусть учатся у гугла и мозиллы как надо действовать чтобы хакеры сплойты сливали оптом производителю, а не на черный рынок. Хотя я конечно понимаю что древней корпорации с заржавелыми менеджерами сложно адаптироваться к современным реалиям.
> Кстати, раньше этот хакер ненавидел adobe за его флеш. Но теперь оракл его раздражает больше.Джеймс Гослинг? Билл Джой? Патрик Ногтон?
> До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.Ну т.е., как обычно, на полгода-год
> Ну т.е., как обычно, на полгода-годЛучше просто снести его совсем.
Рекомендуется отключить данный плагин вообще навсегда. Если вам нужна десктопная жаба, то плагин не нужен. Если нужен плагин (для банк-клента, например), то для этого стоит выделить отдельную копию браузера, которому запретить ходить на все остальные сайты.
А почему бы в плагине не сделать возможность включить его только для определенных сайтов?
ну, в мозилле лечится расширением. Как обычно, собственно.
> Рекомендуется отключить данный плагин вообще навсегда. Если вам нужна десктопная жаба,
> то плагин не нужен. Если нужен плагин (для банк-клента, например), то
> для этого стоит выделить отдельную копию браузера, которому запретить ходить на
> все остальные сайты.Или поменять уже банк.
> Рекомендуется отключить данный плагин вообще навсегда.Троян существует только для Windows.
Windows существует только для Троян.
> которому запретить ходить на все остальные сайты.А еще можно прыгать в ластах, с бубном, в гамаке. Для ублажения очередного горбатого совкобанка, раузмеется. В смысле, вам не кажется что так извращаться для получения услуги за свои же деньги - не есть нормально? К тому же серьезно настроенному хакеру ничто не помешает подменить DNS например кучей разных методов.
а где-то в России/Украине есть банки, у которых корпоративный клиент не на яве?
ява снова дырява. izen, выходи выгораживать яву
Аноним, 00:17 , 02-Мрт-13, (22)
>izen, выходиiZEN, 00:19 , 02-Мрт-13 (23)
Во, саммонинг-то прокачан у анонимного чувака! 8-O +++Чувак, зови сюда Линуса -- меркурятников материть?!
> меркурятников материть?!Команду демеркуризаторов во главе с Торвальдсом :)
> Аноним, 00:17 , 02-Мрт-13, (22)
>>izen, выходи
> iZEN, 00:19 , 02-Мрт-13 (23)
> Во, саммонинг-то прокачан у анонимного чувака! 8-O +++Чувак, зови сюда Линуса --
> меркурятников материть?!Работать идите, заводы стоят, мать вашу.
А вы тут очередной dick-sucking contest устроили.
зачем юродивого тревожите
JVM написана на C++ — это основная проблема.
Ясно. А на каком языке должен быть был написан плагин для браузера, чтобы там так часто не находились эксплоиты? Разумеется, должна существовать возможность написать плагин для реальных современных браузеров на этом языке.
Не надо увиливать - конкретный язык, для которого можно написать плагин для файрфокса и хрома, пожалуйста :) Опционально еще IE.
>JVM написана на C++ — это основная проблема.Верно, надо было на жаве его написать.
> надо было на жаве его написать.... и назвать jaja (по аналогии с pypy). Для особо упоротых - jajanaturlich.
> JVM написана на C++ — это основная проблема.Да, плохому танцору мешает не танцевальное искусство театра БолЪшой.
я тебе раскрою большой секрет. дело не в том, на каком языке написано, а КАК написано. дурачье, правда, всё время думает, что их говнокод автоматически разколупает компилятор до стабильного идеала. в этой абстракции так и живут очень многие убогие жаба- и дотнеткодеры, в надежде на чудо саморазгребения кривейшего кода с множеством костылей.
“Си позволяет легко выстрелить себе в ногу; с C++ это сделать сложнее, но, когда вы это делаете, вы отстреливаете себе ногу целиком”, — Бьерн Страуструп.
то есть ты испугался этих слов, и поэтому твой кругозор на столько ограничен? бедненький. да это сифобия у тебя.ещё раз перечитай, что я написал.
фанатеки чего-либо вообще глухи и слепы к аргументации других. ты - типичный пример из этой серой массы фанатиков. в сектах происходит абсолютно то же самое, к примеру.
> “Си позволяет легко выстрелить себе в ногу; с C++ это сделать сложнее,
> но, когда вы это делаете, вы отстреливаете себе ногу целиком”, —
> Бьерн Страуструп.Ага, а прикинь что бы он прожабку сказал
что-то вроде: стреляешь в ногу, а отлетает голова :)
Интересное наблюдение: http://habrahabr.ru/post/171325/
///---
EPOC и Symbian как платформа писалась сразу на C++, но во времена когда единого стандарта на С++ еще не было. Поэтому Симбиан известен своими мягко говоря «странными» особенностями программирования на C++, которые весьма нецензурно почитались разработчиками софта. Разработка целиком всей платформы, включая ядро, сразу на C++ привела еще к одной особенности. Ничего из уже существующего open source на ней было применить нельзя без портирования на C++, что и без того затрудняло и без того нелегкую разработку.Особенности С++, невозможность использовать open source пакетов на чистом C, и прочая самобытность операционки дополнялись полностью идиотской моделью SDK и девелоперской документации. Куча разрозненных пакетов API и слабоконсистентный вид их использования привели к интересной ситуации. Чтобы поставить себе среду разработки и написать “Hello World!” приложение, у среднего девелопера со знанием обычного C++ уходило до недели.
---///
То же самое и с JVM, не касаясь всего JDK.Почему OpenJDK7 "ONLY_FOR_ARCHS= amd64 i386"? А где SPARC64, MIPS, PowerPC, ARM?!! Ведь всё что написано на C++ легко портируется! Ага, щаз. Ж)
http://packages.debian.org/sid/openjdk-7-jdkА дебианщики-то и не знают...
> JVM написана на C++ — это основная проблема.А я думал что проблема явы - в том что это немеряный переросток с кучей кода, делаемый слоупочным корпорасом в основном. Поскольку кода много - это и так хорошая заявка на победу. А поскольку писали наполовину корпоративные кодеры "как подешевле" - вдвойне.
> JVM написана на C++ — это основная проблема.Годный троллинг, годный
6 Update 42 будет?
> 6 Update 42 будет?""В связи c прекращением времени жизни ветки Java SE 6, для которой больше не будут выпускаться публичные обновления, компания Oracle реализовала в Java SE 7 функцию удаления компонентов Java SE 6 при установке новой версии.""
Примадонна уходит. Ты надеешься, что "опять"?
>удаления компонентов Java SE 6 при установке новой версииЕще бы она винду-ворду сносила заодно...
> 6 Update 42 будет?"Финальная версия явы, и всего-всего"? :)
>6 Update 42 будет?Будет Java 8.
Судя по количеству уязвимостей программисты в панике и истерично затыкая дыру тут же открывают пару других.
Поэтому проще будет переписать с нуля.
Вот только кто будет этим героем?
Это какая-то фантомасгория. Даещь по 0-дэй уизвимости в Джаве каждую неделю. Сколько можно уже ЭТО использовать, если оно настолько дырявое. фу.
судя по всему, этих уязвимостей там нашли много. просто порциями выдают.
лет 5-6 назад был продемонстрирован подход комбинированного крэша, когда не просто тупо в одну функцию/метод суют некорректные данные, а комбинируют последовательность некорректных вызовов. была сенсация. о которой просто попытались быстро забыть. но далеко не все об этом методе позабыли, судя по всему.
> судя по всему, этих уязвимостей там нашли много. просто порциями выдают.
> лет 5-6 назад был продемонстрирован подход комбинированного крэша, когда не просто тупо
> в одну функцию/метод суют некорректные данные, а комбинируют последовательность некорректных
> вызовов. была сенсация. о которой просто попытались быстро забыть. но далеко
> не все об этом методе позабыли, судя по всему."Хорошо бы пива!"(С) В смысле не побалует ли брат Карбофосец статейкой или хотя бы ссылочкой на инфу, хочется подрасти над собой в плане расширения кругозора.
подход похож на разновидность фаззинга. обычным фаззингом, к примеру, в адобовском флеш-проигрывателе, 1.5 года нзад было обнаружено 400 уязвимостей.
а ссылку постараюсь найти. может даже на опеннете была новость
> подход похож на разновидность фаззинга. обычным фаззингом, к примеру, в адобовском флеш-проигрывателе,
> 1.5 года нзад было обнаружено 400 уязвимостей.
> а ссылку постараюсь найти. может даже на опеннете была новостьСпасибо за инфу, Карбофос, если и ссылочкой побалуешь, то цены тебе просто не будет.
>> обычным фаззингом, к примеру, в адобовском флеш-проигрывателе,
>> 1.5 года нзад было обнаружено 400 уязвимостей.
> Спасибо за инфу, Карбофос, если и ссылочкой побалуешь, то цены тебе просто
> не будет.Да что ж тут баловать, вот первый результат в гугле на первый же запрос adobe flash player fuzzing: http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-...
Корми их тут, пои...
:)
> Да что ж тут баловать, вот первый результат в гугле на первый
> же запрос adobe flash player fuzzing: http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-...Спасибо, Мишаня! Интересная ссылочка.
> Корми их тут, пои...
> :)Надо же братьев меньших-анонимных по зиме подкармливать. Да не отсохнет рука кормящая...
:-)))
это один из простых фаззингов использовался. та новость на пару лет раньше светилась, чем про 400 дыр в флеше. о чем я начинал разговор - более хитрый, комбинированный подход. пытаюсь найти, примерно в 2007-2008 году новость была. постараюсь завтра ещё поискать.
заголовок поправьте, а то создается впечатление, что уязвимости в очередь выстраиваются, по расписанию
> заголовок поправьте, а то создается впечатление, что уязвимости в очередь выстраиваются,
> по расписаниюА что не так?
curl opennet.ru | grep Java && echo "Чорт, опять уязвимость!" && apt-get update && apt-get install jre jdk
Так и живем :)
> apt-get install jre jdk
> Так и живем :)...инсталлируя яву каждый раз когда в ней находят дыру? Это такой тонкий мазохизм? :)
>> apt-get install jre jdk
>> Так и живем :)
> ...инсталлируя яву каждый раз когда в ней находят дыру? Это такой тонкий
> мазохизм? :)Так-то install обновляет пакет, если он уже установлен...
А, вы вот о чём! Тогда purge вместо install.
> curl opennet.ru [...] && apt-get
> Так и живем :)curl от рута? Страшно так жить, наверное...
заказ M$ на подрыв репутации JVM?
Как-то сомнительно,что кто-то один,или несколько сидят и перелопачивают тонны
кода из реализаций JVM и всех java фреймворков,удачно выискивая уязвимости.
Похоже эти уязвимости были кому-то давно известны,возможно этими кем-то
были созданы,и которые бережно хранились для возможного использования в будущем.
> Как-то сомнительно,что кто-то один,или несколько сидят и перелопачивают тонны
> кода из реализаций JVM и всех java фреймворков,удачно выискивая уязвимости.
> Похоже эти уязвимости были кому-то давно известны,возможно этими кем-то
> были созданы,и которые бережно хранились для возможного использования в будущем.Тонны кода лопатить незачем.
Можно поиграться с отладчиком.