Выход за пределы изолированного окружения в Java Runtime Environment

06.10.2007 02:06

Обнаружено несколько серьезных уязвимостей в Sun Java JRE:

Несанкционированное перемещения или копирования системных файлов web-аплетом злоумышленника;
Несанкционированное создания внешних сетевых соединений из web-аплета злоумышленника;
Несанкционированное чтение web-аплетом злоумышленника содержимого локальных файлов через Java Web Start.

Уязвимостям подвержены следующие версии:

JDK и JRE 6 Update 2 и более ранние;
JDK и JRE 5.0 Update 12 и более ранние;
SDK и JRE 1.4.2_15 и более ранние;
SDK и JRE 1.3.1_20 и более ранние.

Рекомендуется обновить Java до последней версии или отключить выполнение Java аплетов в web-браузере.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/12337-security

Ключевые слова: security, java

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, Бурзум (?), 02:43, 06/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Явакапец %)))) побежал проверять где не отрублена

1.3, Аноним (-), 09:48, 06/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Achtung! Кофейников фтопку вместе с тормозной и опасной жабой.

2.4, penguin_killer (?), 10:23, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
Да здравствует быстрый и безопасный PHP!!! :-))

3.6, VZ (??), 11:57, 06/10/2007 [^] [^^] [^^^] [ответить]

+/–

Да, действительно, интересный тандемчик можно получить -
благодаря "особенностям" "быстрого и безопасного PHP" на атакуемый сайт ставишь свой java аплет, а тот в свою очередь бомбит браузеры клиентов.

Как страшно жить :)

2.15, Dvorkin (??), 00:41, 07/10/2007 [^] [^^] [^^^] [ответить]	+/–
переходим на точканет?

3.18, Аноним (18), 16:32, 07/10/2007 [^] [^^] [^^^] [ответить]	+/–
Ага, даешь смену шила на мыло!С учетом монструозности дотнета там наверняка не меньше приколов и граблей раскидано.А что их еще не все нашли - так то вопрос времени и популярности.

2.9, Александр (??), 12:38, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
очевидно, вы уважаемый .. по своему особо умны. в интернете есть множество аплетов, позволяющих выполнять такие операцие, не возможно реализовать во многих других приложениях.

3.10, Бурзум (?), 12:52, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
> в интернете есть множество аплетов, позволяющих выполнять такие операцие, не возможно реализовать во многих других приложениях. Слишком громко, имхо, сказано. Может быть "гораздо сложнее другими средствами, нежели на java"? Приведите пожалуйста примеры, которые вы имели ввиду.

4.11, Samm (??), 12:56, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
Да запросто. IP KWM, например. Или встроенный rdp/vnc клиент.

5.13, KdF (??), 21:40, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
fvnc ;)

6.14, Samm (??), 23:25, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
Ну да, флеш типа более секьюрен... Жаба хоть подо всё есть и работает нормально.

6.16, GateKeeper (ok), 08:55, 07/10/2007 [^] [^^] [^^^] [ответить]	+/–
Вы бы еще ActiveX предложили.

7.17, KdF (??), 13:24, 07/10/2007 [^] [^^] [^^^] [ответить]	+/–
Я бы ещё много чего мог предложить, например, не пользоваться VNC из web =)

5.19, Аноним (-), 20:15, 07/10/2007 [^] [^^] [^^^] [ответить]	+/–
Ну да, ну да, и еще куча всего, для чего надо использовать нормальные нативные приложения, а не Java.

5.21, Zert (ok), 12:02, 08/10/2007 [^] [^^] [^^^] [ответить]	+/–
И на кой нужен встроенный в веб-страницу vnc?

1.12, Nice (?), 18:50, 06/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Че за паника ? Оно же каждый день так ))) Не в одном, так вдругом )

1.20, andrey (??), 04:05, 08/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
дайте линк на jre-1.5.0.13 немогу найти на sun.com переход на 1.6 не предлагать, новая абаж новые баги, проект чужой большой купленный не работает.

1.22, Осторожный (?), 22:00, 08/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Зайти на скачивание java se Там есть ссылка - предыдущие релизы Там есть 1.5 И там есть 1.5.0 update 13

игнорирование участников | лог модерирования

Добавить комментарий

Текст: