Перейти к содержимому


Фотография

Уязвимость в Java подвергает пользователей серьезному риску

Внимание!

Счетчик сообщений и начисление баллов в разделе отключены.


  • Авторизуйтесь для ответа в теме
В теме одно сообщение

#1 OFF   Евгений Малинин

Евгений Малинин

    Ветеран

  • Золотые бета-тестеры
  • PipPipPipPipPipPipPip
  • Cообщений: 1 796

Награды

     

Отправлено 12 Апрель 2010 - 12:14

Исследователь Тэвис Орманди сообщил об уязвимости в Java Web Start, позволяющей хакеру удаленно выполнить вредоносный код в системе под управлением всех недавних версий ОС Windows, а его соратник Рубен Сантамарта из фирмы Wintercore заявил, что аналогичная брешь затрагивает и Linux.

Оба эксперта указывают на шокирующую легкость использования бага, эксплуатацию которого можно осуществить с помощью веб-сайта, тайно рассылающего вредоносные команды различным компонентам Java, служащим для запуска приложений в браузерах Internet Explorer, Firefox и прочих.

Орманди рассказал также, что разработчики Java из недавно приобретенного Oracle соответствующего подразделения Sun были проинформированы о наличии проблемы, однако не сочли ее заслуживающей того, чтобы нарушить плановый ежеквартальный график выхода патчей. Оба исследователя с этим категорически не согласны.

Так, Сантамарта пишет, что метод, с помощью которого поддержка Java Web Start была добавлена в JRE – это ничто иное, как сознательно установленный бэкдор или вопиющий случай поразительной безответственности. По словам эксперта, самое невероятное заключается в том, что в Sun не смогли правильно оценить уровень риска от этой утечки после того, как Орманди предоставил им информацию о ней.

В числе уязвимых компонентов Windows, обнаруженных Орманди, значатся элемент управления ActiveX, известный как Java Deployment Toolkit и плагин для Firefox под названием NPAPI, служащий для того, чтобы облегчить разработчикам Java распространение приложений среди конечных пользователей.

Все эти компоненты без надлежащей проверки принимают и обрабатывают команды, встроенные в URL и веб-страницы, а затем передают их другим компонентам на исполнение. По словам Сантамарты, добавление скрытого параметра командной строки позволяет использовать данный баг и на Linux. В настоящее время эксперт изучает возможность эксплуатации этой бреши для удаленного выполнения кода.

Орманди предупреждает, что без патча защитить себя от этой уязвимости будет не так-то просто, поскольку одного отключения ActiveX или плагина для Firefox будет недостаточно. Данный инструментарий ставится отдельно от Java и это значит, что единственными возможными временными решениями являются установка специфичных для каждого браузера стоп-битов или внедрение дополнительных функций в списки контроля доступа. Более подробно об этом написано здесь.

Впрочем, существует и более радикальный способ решения проблемы, который в последнее время все чаще кажется заслуживающим внимания. Так, эксперт по компьютерной безопасности Алекс Сотиров написал на Twitter о том, что он удалил Java более года назад и до сих пор не имел ни единой проблемы ни с одним из сайтов. Поэтому исследователю кажется непонятным, для чего люди до сих используют Java в своих браузерах.

© http://www.xakep.ru/...748/default.asp
  • 0
Если вам кто-то помог нажмите на кнопку "+" под аватаркой.
Если ждёте от меня ответа - пишите в ЛС со ссылкой на пост.


Кликни

Изображение
Изображение
Изображение
Убунтовод Twitter В Контакте

#2 OFF   Fasawe

Fasawe

    Профи

  • Участники
  • PipPipPipPipPip
  • Cообщений: 915

Отправлено 12 Апрель 2010 - 12:17

Скорее всего Java внесла брешь специально и для своего личного пользования...
  • 0
Детали решают всё!
Leading Specialist
Dell Preferred Partner




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных