URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88939
[ Назад ]
Исходное сообщение
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено opennews , 05-Мрт-13 13:07 
Компания Oracle представила (https://blogs.oracle.com/security/entry/security_alert_cve_2...) внеплановые обновления Java SE 7 Update 17 и Java SE 6 Update 43 (http://www.oracle.com/technetwork/java/javase/downloads/inde...)  с исправлением проблем безопасности CVE-2013-1493 и CVE-2013-0809 (http://www.oracle.com/technetwork/topics/security/alert-cve-...), которым присвоен наивысший уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Обе уязвимости затрагивают 2D-подистему Java SE и проявляются только при использовании браузерного Java-плагина.


Так как одна из уязвимостей уже активно эксплуатируются (http://www.opennet.me/opennews/art.shtml?num=36270) в Сети для распространения вредоносного ПО, пользователям Java-плагина рекомендуется не откладывать установку обновления. Интересно, что о наличии указанной уязвимости компании Oracle было известно 1 февраля, но исправление не было включено в февральские (http://www.opennet.me/opennews/art.shtml?num=36165) обновления (http://www.opennet.me/opennews/art.shtml?num=35999) с устранением проблем безопасности, что в итоге сказалось в появлении эксплоитов для ещё не исправленной проблемы.

URL: https://blogs.oracle.com/security/entry/security_alert_cve_2...
Новость: http://www.opennet.me/opennews/art.shtml?num=36294

Содержание
Сообщения в этом обсуждении
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Аноним , 05-Мрт-13 13:07 
да у них как-то все внепланово выходит
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Аноним , 05-Мрт-13 13:10 
Зато экплоиты и уязвимости штампуют строго по плану =)
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено кверти , 05-Мрт-13 13:15 
ждём завтра новость о новой дырке в яве...
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено например , 05-Мрт-13 13:28 
блин, помню в 2000-м статьи о том какая крутая java, все безопасно, песочница и всё такое.
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено ананим , 05-Мрт-13 20:04 
На фоне активХы так и было.
Кому нафиг нужна была жаба, когда дырки прям в мсдн описывались с примерами эксплуатации.
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Аноним , 05-Мрт-13 13:40 
Мало того, что офигенного механизма оптимизации лишили программистов в Java (указатели), дак еще и проблемы присущие использованию оного не решили! iZen, что за хня?!
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Аноним , 05-Мрт-13 14:31 
iZEN обясни нам!!!???
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Andrey Mitrofanov , 05-Мрт-13 14:40 
> iZEN обясни нам!!!???

Он же уже. Вчера ещё, в N-1-ом обновлении: во _всём_ виноват Си++. Натурально, джавва же не при чём.

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено iZEN , 05-Мрт-13 14:44 
Как известно, эксплуатируется уязвимость, связанная с переполнением буфера и возможностью выполнения кода из области данных, вышедшей за пределы контроля. Такая уязвимость по статистике используется в 35% случаев атаки на программы, написанные на "типобезопасном" языке C++.
Пруфлинк: http://www.opennet.me/opennews/art.shtml?num=36287
JVM написана на C++, отсюда и причина дырявости кода.
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено цирроз , 05-Мрт-13 17:39 
изя опять Дуримара включил. просто жуть.
эклипс начал тормозить на 100-6000% - тоже нативный код виноват
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Led , 06-Мрт-13 02:15 
> изя опять Дуримара включил. просто жуть.

А разве он у него отключается? ИМХО это "заводская прошивка" у него такая, "крякнуть" некому - вот и мается...

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено iZEN , 05-Мрт-13 14:46 
> Мало того, что офигенного механизма оптимизации лишили программистов в Java (указатели),

Указатели — это не механизм оптимизации, а заряженное ружъё, готовое выстрелить в любую минуту без нажатия на спусковой крючок.

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено кверти , 05-Мрт-13 14:51 
плохому танцору, как известно,...
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено iZEN , 05-Мрт-13 14:57 
> плохому танцору, как известно,...

Руки мешают? Оно и видно. ;)

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено другой аноним , 05-Мрт-13 15:58 
"человеку свойственно ошибаться". Даже лучшие и величайшие ошибаются, только реже
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено ананим , 05-Мрт-13 19:59 
Свою ошибку можно хотя бы исправить.
Ошибку в чужих технологиях — нет.

Вон айзен может кастрировать себя на указатели и/или отпилить себе все пальцы, а батхерт его читаем постоянно в подобных сабжах.

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Avator , 05-Мрт-13 22:00 
Смотря в каких.
В лицензируемых под GPL - вполне.
Oracle JDK собирается из кода OpenJDK.
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено ананим , 06-Мрт-13 07:21 
Но собрав из OpenJDK не получишь Oracle JDK, который требует половину приложений.
Да и разбираться в этой куче не интересно.
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено анон , 05-Мрт-13 14:14 
тупая жаба, хочет удалить предыдущий апдейт (Update 13, файл jre1.7.0_13-c.msi), а его нет, т.к. сама в прошлый раз его удалила и не ставит новый апдейт. Не удивительно, что в ней находят столько дырок.
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Вася , 05-Мрт-13 15:43 
найди линки на свой.msi в реестре и сотри
или скачай заново с оракла старую жабу той же версии, реинсталль, потом ставь новую
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено анон , 05-Мрт-13 19:42 
понять бы как скачать старую жабу, доступ по фтп не нашел, а по ссылке вообще ничего не говорится о версии
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Клим , 05-Мрт-13 20:39 
либо отсюда filehippo.com/download_jre_32/download/e049ad72ea16a0657fd9e12d07f3839b/

либо с оракла oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html  но тут региться фальшивыми данными надо

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено анон , 06-Мрт-13 14:19 
скачать-скачал, но она по прежнему требует файл, которого нет, а как его выковырять из екзешника я не знаю
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Клим , 06-Мрт-13 16:55 
да, там через ж-пу

rghost.net/44308183

держи, из временной папки достал,
если не веришь, цифровую подписть проверь

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено анон , 06-Мрт-13 15:23 
вот это помогло
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Константин , 15-Дек-13 00:11 
> тупая жаба, хочет удалить предыдущий апдейт (Update 13, файл jre1.7.0_13-c.msi), а его
> нет, т.к. сама в прошлый раз его удалила и не ставит
> новый апдейт. Не удивительно, что в ней находят столько дырок.

если кому интересно то проблема с jre1.7.0_13-c.msi решается так

http://iderror.com/errors/java/java-jre/internal-error-2755/...

Для меня это работало лучше:
1. использовать эту небольшую программу от корпорации Майкрософт веб-сайт под «Исправить это» http://support.microsoft.com/mats/Program_Install_and_Uninstall 2. деинсталлировать Java (я не мог удалить его, потому что он искал jre1.7.0_17-c.msi файла, также, когда я хотел перейти на более новую версию, так что я был stucked) 3. перезагрузить ваш компьютер 4. установить самую свежую Java с помощью форума инсталлятор 5. распространять данное руководство, поскольку я искал что-то простое и без сторонних приложений (безопасный способ) того, как сделать это нравится

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено tonys , 05-Мрт-13 15:38 
Java. Написано однажды - работает везде. Начинаю понимать истинный смысл.

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено iZEN , 05-Мрт-13 15:48 
> Java. Написано однажды - работает везде. Начинаю понимать истинный смысл.

Кстати, 2% пользователей десктопного Linux можно не волноваться — троян, использующий уязвимость в JVM, работает только под Windows. Только дуалбутчикам стоит опасаться. :)

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено кверти , 05-Мрт-13 16:43 
ты забыл упомянуть беспроцентных пользователей десктопных бсд...
"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено Аноним , 05-Мрт-13 18:04 
>> Java. Написано однажды - работает везде. Начинаю понимать истинный смысл.
> Кстати, 2% пользователей десктопного Linux можно не волноваться — троян, использующий
> уязвимость в JVM, работает только под Windows. Только дуалбутчикам стоит опасаться.
> :)

А плагин java к браузеру стоит у 2% линуксоидов. Тем более на основном профиле и без click-to-play.

Так что никто и не волнуется...

"Компания Oracle выпустила внеплановое обновление Java SE с у..."
Отправлено iZEN , 10-Мрт-13 08:09 
Порт java/openjdk7 в коллекции портов FreeBSD обновлён до версии 7.17.02.