The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в Java, эксплуатируемая через браузер

10.04.2010 09:54

В фреймворке Java Web Start найдена серьезная уязвимость, позволяющая злоумышленнику получить контроль над системой при открытии в любом web-браузере с включенной поддержкой Java специально оформленной страницы. Проблема вызвана некорректной проверкой параметров, передаваемых JavaWS через командную строку, при этом эти параметры можно изменить через HTML-тег "object".

По заявлению обнаруживших проблему исследователей, уязвимость присутствует в коде Java уже много лет. В настоящий момент наличие проблемы подтверждено только в Windows, скорее всего другие платформы не подвержены данной уязвимости. Исправления пока не выпущены, проблема отнесена к категории 0day-уязвимостей.

  1. Главная ссылка к новости (http://threatpost.com/en_us/bl...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/26178-java
Ключевые слова: java, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, RLC (?), 13:59, 10/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ахренеть! а такая классная штука эта Java WEB Start!! так удобно с помощью неё приложения распространять!  Никак не исправят! они чё там не чешуться что ли в Этом Оракле!!!
     
     
  • 2.2, аноним (?), 14:15, 10/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Просто надо понять что софт и web несовместимы, и никогда не станут.
     
     
  • 3.4, szh (ok), 16:07, 10/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    просто тебе надо понять что совместимы, и уже давно.
     
     
  • 4.7, User294 (ok), 19:28, 10/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Доказано хацкерами засравшими все своей малварью? :) ИМХО, все эти навороты типа явы - нафиг не нужны. Один гемор только. И приваси факапнуть может, и структуру внутренней сети до некоторой степени может изучить, и вот такие вот прикольные фортели. Ссыкотнее явы только нативные бинарники с порносайта запускать. Кстати появились самоходные троянчики на яве. Да, запускаются благодаря некоторому тупняку юзера, но в конечном итоге - под симбиан вирье распостранялось точно так же.
     
     
  • 5.13, iZEN (ok), 18:01, 12/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ссыкотнее явы только нативные бинарники с
    >порносайта запускать. Кстати появились самоходные троянчики на яве. Да, запускаются благодаря
    >некоторому тупняку юзера, но в конечном итоге - под симбиан вирье
    >распостранялось точно так же.

    Опять ты не различаешь JavaScript и Java.


     
  • 2.3, я (?), 14:31, 10/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    так если про эту уязвимость только вчера узнала общественность и производитель.. как они могут успеть?
     

  • 1.6, Аноним (-), 17:39, 10/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Версия под Linux тоже уязвима:(
     
     
  • 2.8, anonymous (??), 21:47, 10/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Правоверные линуксоиды в веб из под рута не лазают ;)
     
     
  • 3.11, dry (ok), 11:27, 11/04/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это не аргумент.
    иногда компрометация пользовательского аккаунта ничуть не менее опасна чем компроментация системы.
     
  • 2.12, iZEN (ok), 18:00, 12/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимости подвержена только проприетарная Java SE.

    OpenJDK6 и OpenJDK7 уязвимости не подвержены, поскольку в них отсутствуют плагины для запуска апплетов в браузере— злонамеренный код на JavaScript  ничего не сможет сделать.

     

  • 1.14, Аноним (14), 12:50, 02/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.veatek.ru/full/lp_tlp_2844/
    http://www.sarssp.ru/stps/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру