Saugumo ekspertai perspėja apie itin pavojingą „Java“ pažeidžiamumą

Komentarai Prisijungti

Viršuje:   Seniausi | Naujausi

infoguru 2010-04-13 08:55
Ech... jau senokai nemačiau Java Appleto... Man tik idomu iš kur šitas straipsnis, nes "šaltinyje" pateikiama tik statistinė 102 svetainių lankomumo informacija apie Flash, Silverlight ir Java versijų pasiskirstymą ir pan., o apie Java saugumo skylę neradau nei žodžio. Būrų smagu, tuo pačiu ir "ekspertus" paviešinti, kad galėtum susidaryti nuomonę kiek patikima yra ši informacija.
rwc 2010-04-13 11:28
Kreivas straipsnis iš kreivo šaltinio. Kas čia per "egzpertai", savo saitui naudojantys Flash ir CSR? Man, kaip šiokiam tokiam ekspertui, tas puslapis neprieinamas, ir vien jo flešiškumas įžiebia raudoną lemputę. Beje, man rodo: Statistics collected from 0 daily unique browsers across 0 sites over the past 0 days. NaN? Ir, beje, statistika ne į temą. Java nėra vien appletai. Daugybė žmonių naudoja Eclipse ar OpenOffice pagrindu sukurtas programas. Net kai kurie HP printerių draiveriai instaliuoja JRE. Jau nekalbant, kiek serverių ir įmonių infrastruktūrų pastatyta su Java. Ir dar. Tai koks vis dėlto pažeidžiamumas, kur jis? Byte code verifier? JAAS? Sertifikatų tikrinimas? Permission klasė? Ar jis veikia su JNLP, javascript:java.lang.System, OpenOffice makrosais? Ar servletai, Oracle konsolė irgi pažeidžiami? Kurios JRE versijos pažeidžiamos? Labai jau panašu į tuščią panikos sėjimą ir Silverlight reklamą...
Vytautas 2010-04-13 12:02
Šį pranešimą spaudai parengė ir atsiuntė atstovai iš UAB "Critical Security". http://www.critical.lt/ O iš kur jie gavo pirminius šaltinius, tai mes jau nežinome
rwc 2010-04-13 12:45
Spraga Windows, JNLP, Java nuo versijos 6 update 10. Esmė - kad javaws.exe netinkamai validuoja komandinės eilutės parametrus, kuriuos galima nurodyti JNLP konfigūracijoje. Sprendimas: naudoti NoScript arba AdBlock ir neaktyvuoti įskiepių nepatikimuose puslapiuose. Be to, dirbti apriboto vartotojo teisėmis. Žodžiu, elgtis kaip įprasta, ir kaip rekomenduoja gera saugaus darbo internete praktika. Nieko baisaus ;]
infoguru 2010-04-13 14:11
Pažiurėkime kas gi tokie "Critical securities" partneriai.... Vualia. - Microsoft. Nenuostabu, kad ir informacija piarinė. Pigus reklaminis triukas pilant purva ant kitų - tipinė microsoft ir jos partnerių strategija. Savo skyles lai išsilopo. http://www.critical.lt/tapkite_partneriu/ P.S. Ant Linux šia skyle pasinaudoti deja kol kas nepavyko: http://www.reversemode.com/index.php?op ... 7&Itemid=1 Updated Although Linux contains vulnerable code, I was unable to exploit it in the same manner. It likely can be exploited by using the proper sequence of command-line arguments, but the sudden release didn't allow me to research into this issue.I was focused on Windows at the moment of the disclosure.