Критическая уязвимость в Java, эксплуатируемая через браузер

10.04.2010 09:54

В фреймворке Java Web Start найдена серьезная уязвимость, позволяющая злоумышленнику получить контроль над системой при открытии в любом web-браузере с включенной поддержкой Java специально оформленной страницы. Проблема вызвана некорректной проверкой параметров, передаваемых JavaWS через командную строку, при этом эти параметры можно изменить через HTML-тег "object".

По заявлению обнаруживших проблему исследователей, уязвимость присутствует в коде Java уже много лет. В настоящий момент наличие проблемы подтверждено только в Windows, скорее всего другие платформы не подвержены данной уязвимости. Исправления пока не выпущены, проблема отнесена к категории 0day-уязвимостей.

исправить +/–

Главная ссылка к новости (http://threatpost.com/en_us/bl...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26178-java

Ключевые слова: java, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, RLC (?), 13:59, 10/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ахренеть! а такая классная штука эта Java WEB Start!! так удобно с помощью неё приложения распространять! Никак не исправят! они чё там не чешуться что ли в Этом Оракле!!!

2.2, аноним (?), 14:15, 10/04/2010 [^] [^^] [^^^] [ответить]	+/–
Просто надо понять что софт и web несовместимы, и никогда не станут.

3.4, szh (ok), 16:07, 10/04/2010 [^] [^^] [^^^] [ответить]	+/–
просто тебе надо понять что совместимы, и уже давно.

4.7, User294 (ok), 19:28, 10/04/2010 [^] [^^] [^^^] [ответить]	+/–
Доказано хацкерами засравшими все своей малварью? :) ИМХО, все эти навороты типа явы - нафиг не нужны. Один гемор только. И приваси факапнуть может, и структуру внутренней сети до некоторой степени может изучить, и вот такие вот прикольные фортели. Ссыкотнее явы только нативные бинарники с порносайта запускать. Кстати появились самоходные троянчики на яве. Да, запускаются благодаря некоторому тупняку юзера, но в конечном итоге - под симбиан вирье распостранялось точно так же.

5.13, iZEN (ok), 18:01, 12/04/2010 [^] [^^] [^^^] [ответить]

+/–

>Ссыкотнее явы только нативные бинарники с
>порносайта запускать. Кстати появились самоходные троянчики на яве. Да, запускаются благодаря
>некоторому тупняку юзера, но в конечном итоге - под симбиан вирье
>распостранялось точно так же.

Опять ты не различаешь JavaScript и Java.

2.3, я (?), 14:31, 10/04/2010 [^] [^^] [^^^] [ответить]	+/–
так если про эту уязвимость только вчера узнала общественность и производитель.. как они могут успеть?

1.6, Аноним (-), 17:39, 10/04/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Версия под Linux тоже уязвима:(

2.8, anonymous (??), 21:47, 10/04/2010 [^] [^^] [^^^] [ответить]	+/–
Правоверные линуксоиды в веб из под рута не лазают ;)

3.11, dry (ok), 11:27, 11/04/2010 [^] [^^] [^^^] [ответить]	+1 +/–
это не аргумент. иногда компрометация пользовательского аккаунта ничуть не менее опасна чем компроментация системы.

2.12, iZEN (ok), 18:00, 12/04/2010 [^] [^^] [^^^] [ответить]	+/–
Уязвимости подвержена только проприетарная Java SE. OpenJDK6 и OpenJDK7 уязвимости не подвержены, поскольку в них отсутствуют плагины для запуска апплетов в браузере— злонамеренный код на JavaScript ничего не сможет сделать.

1.14, Аноним (14), 12:50, 02/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
http://www.veatek.ru/full/lp_tlp_2844/ http://www.sarssp.ru/stps/

игнорирование участников | лог модерирования

Добавить комментарий

Текст: