The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новая критическая уязвимость в Java SE 5, 6 и 7

26.09.2012 10:39

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, опубликовал информацию о новой критической уязвимости, проявляющейся во всех версиях Java SE 5, 6 и 7, независимо от операционной системы. Проблема позволяет выполнить код в системе в обход всех уровней изоляции виртуальной машины Java. Прототип эксплойта, который пока не опубликован, успешно протестирован с Java-плагинами в последних версиях Chrome, Firefox, Internet Explorer, Opera и Safari.

Компании Oracle уже сообщили все технические детали проблемы и передали рабочий эксплойт. Отмечается, что публикация сведений о новой уязвимости приурочена к конференции JavaOne, которая состоится 30 сентября. Особая опасность проблемы в том, что она не ограничивается только Java 7 и успешно проявляется в ветках Java 5 и 6.

  1. Главная ссылка к новости (http://seclists.org/bugtraq/20...)
  2. OpenNews: Последнее обновление Java по-прежнему содержит критическую уязвимость
  3. OpenNews: Компания Oracle выпустила внеплановое обновление Java с устранением уязвимости
  4. OpenNews: Компания Oracle была информирована о наличии критической уязвимости в Java ещё в апреле
  5. OpenNews: Опубликован эксплоит, поражающий неисправленную уязвимость в Java 7
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34936-java
Ключевые слова: java, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Zenitur (ok), 11:43, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    В лицензионном minecraft можно эксплуатировать?
     
     
  • 2.4, Аноним (-), 11:49, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Только в убунту.
     
  • 2.22, h31 (ok), 14:55, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Только в апплетах. Обычных программ дырка не касается — они и так все права получают.
     
  • 2.25, Клим (?), 18:19, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    надеюсь, что да
     

  • 1.3, Аноним (-), 11:45, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +7 +/
    Ничего не поделаешь, это фл... java.
     
  • 1.5, Аноним (-), 11:53, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    я яву уже как года 2 не ставлю, еще тогда у меня было плохое предчувствие... нечисть какая то...
     
  • 1.7, rainerate (?), 11:57, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    А это, java, она вообще зачем?
     
     
  • 2.8, brzm (?), 12:01, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Например для этого http://www.supermicro.com/products/nfo/ipmi.cfm или этого http://www.aten.com/data/edm/2007_form/over_the_net/edm.htm
     
  • 2.16, Аноним (-), 13:42, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Многие вебморды используют, кое-какой софт на ней написан (tuxguitar, i2p, freenet из того с чем может столкнуться простой пользователь). Ну и в ынтерпрайзе его любят.
     
  • 2.26, YetAnotherOnanym (?), 21:34, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    OpenOffice? Нет, не слышал.
     
     
  • 3.29, Crazy Alex (ok), 22:54, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Вот как раз зачем она там - загадка природы. Такое впечатление, что сан её туда вкрутил чтобы была.
     
     
  • 4.30, iZEN (ok), 23:08, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вот как раз зачем она там - загадка природы. Такое впечатление, что
    > сан её туда вкрутил чтобы была.

    Для импорта данных через JDBC в табличный процессор. Многие СУБД поддерживают JDBC-драйвер Type-4, который написан на Java и не нуждается в нативных обёртках.


     
  • 2.28, Crazy Alex (ok), 22:53, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Да много для чего... В области AI, например, пости всё на ней пишется, если брать софт для системной инженерии или управления знаниями - опять практически только она, графовые БД - все как одна на джаве...
     

  • 1.9, Аноним (-), 12:13, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Интересно, OpenJDK это касается?
     
     
  • 2.10, Stocker (?), 12:22, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Можно сказать что нет, так как там плагин и так не работает и им никто не пользуется.
     
     
  • 3.17, iZEN (ok), 14:05, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Почему у вас плагин не работает, а вы за всех отвечаете?

    Я пользуюсь icedtea-web-1.3 с openjdk6-b25 и firefox-15.0.1. Система FreeBSD 9.1-PRERELEASE. Апплеты работают.

     
     
  • 4.23, ВовкаОсиист (ok), 15:56, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > Система FreeBSD

    Сeрьёзн... Вы не шутите????

     
     
  • 5.27, iZEN (ok), 22:09, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Система FreeBSD
    > Сeрьёзн... Вы не шутите????

    Зачем мне шутить?


     
  • 5.32, ang (ok), 09:54, 27/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Система FreeBSD
    > Сeрьёзн... Вы не шутите????

    А в чём прикол? А то у меня работает примерно в такой же конфигурации.

     
  • 4.31, Z (??), 06:10, 27/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    > icedtea-web-1.3 с openjdk6-b25 и firefox-15.0.1. Система FreeBSD 9.1-PRERELEASE.

    Уверен, что даже тут присутствующие не все знают значение этих слов. Ну, а обычные пользователи, которых гораздо больше и которых уязвимость в Java апплетах может коснуться, вообще не поймут о чем это...

     
  • 3.19, toany (?), 14:35, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    поддерживаю, сам пользуюсь Ubuntu 12.04 на PowerPC и OpenJDK, плагин установлен в аналогичной комплектации - аплеты работают.
     

  • 1.11, Аноним (-), 12:23, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    А что, кто-то сомневался что в таком монструозном переростке навалом багов будет? Большим программам - большие баги!
     
  • 1.12, ананим (?), 12:37, 26/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > Отмечается, что новая уязвимость приурочена к конференции JavaOne, которая состоится 30 сентября. 

    Обычно к словам не придираюсь, но тут долго ржал.
    Теперь дырки в продуктах специально к торжествам закладывают. При чём лет на 5-10 вперёд.:D

     
     
  • 2.13, Аноним (-), 13:13, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Не закладывают, а откладывают публикацию о них, до ближайшего громкого события чтобы больнее ударить. Как с взломом kernel.org например явно приуроченом в юбилею линукса.
     
     
  • 3.20, ананим (?), 14:39, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну да, прямо заговор какой-то.
    Остаётся только доказать что злопыхатели сами эти уязвимости встроили и мешали их 10 лет обнаружить.
     
  • 2.14, mine (ok), 13:14, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это Оракл. Почувствуй энтерпрайз, детка... =)
     
     
  • 3.21, ананим (?), 14:40, 26/09/2012 [^] [^^] [^^^] [ответить]  
    		• +/
    Не, это русский язык, малышка. :D
     

  • 1.33, q (??), 17:21, 27/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Чтото както хреного в джавой. Чтото часто находят у неё дыры безопасности. Я так понимаю уже нет безопасный технологий? Существуют ли джава машины на Оракловские, которые более безопасны?
     
  • 1.34, fantom (??), 10:45, 03/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Существуют! мотоцыклы такие были!
    В плане IT они более безопасны, но вот для здоровья - вредно ;)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру