The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Java обнаружена 0-day уязвимость

01.03.2013 21:50

Спустя чуть больше недели с момента выхода корректирующих обновлений Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей, в Сети зафиксирована вредоносная активность, поражающая системы пользователей через ранее неизвестную 0-day уязвимость (CVE-2013-1493) в браузерном Java-плагине. Уязвимость используется для распространения вредоносного ПО McRAT, поражающего Windows-системы при открытии специально модифицированных страниц на подконтрольных злоумышленникам сайтах.

Уязвимость позволяет осуществить запись и чтение произвольных областей памяти JVM. В процессе эксплуатации осуществляется поиск области памяти, в которой хранятся внутренние структуры данных JVM, после чего осуществляется обнуление участков данных областей с целью дезактивации менеджера безопасности. После успешной эксплуатации, под видом изображения осуществляется загрузка исполняемого файла McRAT и попытка его запуска.

Кроме того, имеется информация о включении нового 0-day эксплоита в типовые комплекты для совершения атак. Интересно, что распространяемый с использованием 0-day эксплоита троян Trojan.Naid, подписан с использованием корректного сертификата, полученного в результате атаки на инфраструктуру Bit9. До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.

Дополнение: Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, сообщил, что после выпуска Java SE 7 Update 15 ему удалось выявить две неисправленные проблемы, которые в сочетании друг с другом позволяют обойти sandbox-ограничения Java (проблемы основаны на особенностях работы Reflection API и не связанны с вышеописанной 0-day уязвимостью). Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, который отправлен компании Oracle вместе с детальным описанием сути проблемы. Примечательно, что в ответ компания Oracle заявила, что первая из проблем не является уязвимостью и не выходит за рамки допустимого поведения Reflection API, несмотря на то, что данная особенность является необходимым условием для проявления второй проблемы.

  1. Главная ссылка к новости (http://www.symantec.com/connec...)
  2. OpenNews: Обновление Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей
  3. OpenNews: Критическое обновление Java SE с устранением 50 уязвимостей
  4. OpenNews: В Java SE 7 Update 11 выявлены две новые уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: java, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (88) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Омский линуксоид (ok), 23:01, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Ну не везёт просто и всё. А ведь всего-то что надо? Просто поменять лицензию на GNU GPL 3. И отпустит.
     
     
  • 2.2, Аноним (-), 23:06, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну не везёт просто и всё. А ведь всего-то что надо? Просто поменять лицензию на GNU GPL 3. И отпустит.

    А чем вам лицензия GPLv2, под которой сейчас распространяется код Java, не нравится ?

     
     
  • 3.31, Аноним (-), 01:19, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А чем вам лицензия GPLv2, под которой сейчас распространяется код Java, не нравится ?

    Там скорее проблема в том что ява нужна только огромным ынтырпрайзникам, а сообществу такое малоинтересно. Тем более что оракл своей политикой его поразогнал. Ну а сами они соответствовать современным запросам к оперативности реагирования оказались тупо не в состоянии.

    P.S. между прочим, через прошлые 0day взломали компьютеры как минимум в эппле, фэйсбуке и майкрософте, не говоря уж о толпе менее значимых птиц :)

     
     
  • 4.41, AnonuS (?), 04:53, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > P.S. между прочим, через прошлые 0day взломали компьютеры как минимум в эппле, фэйсбуке и майкрософте, не говоря уж о толпе менее значимых птиц :)

    Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты просто поболтать ерундой вышел.

     
     
  • 5.53, Аноним (-), 09:11, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты
    > просто поболтать ерундой вышел.

    Facebook was first to report a successful intrusion on its networks, then it was Apple's turn, followed by software giant Microsoft. A popular iPhone development Web site suffered a malware injection attack which led to visitors of the site with vulnerable Java software installed being infected.

    http://www.zdnet.com/oracle-investigating-after-two-more-java-7-zero-day-flaw

     
     
  • 6.84, AnonuS (?), 22:01, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты
    >> просто поболтать ерундой вышел.
    > Facebook was first to report a successful intrusion on its networks, then
    > it was Apple's turn, followed by software giant Microsoft. A popular
    > iPhone development Web site suffered a malware injection attack which led
    > to visitors of the site with vulnerable Java software installed being
    > infected.
    > http://www.zdnet.com/oracle-investigating-after-two-more-java-7-zero-day-flaw

    Спасибо, брат Аноним.

     
  • 5.54, Vaso Petrovich (?), 09:41, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты просто поболтать ерундой вышел.

    Вах, вах, вах кто это у нас тут из дикого леса приперся? Это новость о взломе аппл, фэйсбуке и майкрософте, последнии кстати открыто заявили, что их маки тоже пострадали, есть на кучи сайтов, не заметить ее может только тот кто не умеет или не хочет читать. Уверяю вас в том что не надо быть семипядей в лбу чтобы догадаться, что может быть и на винде, и на osx уязвимым, при том, что везде, не только на сайта безопасности, чуть ли не каждую неделю появляются новости об очередной удаленной уязвимости жабы, и так сказать контрольный в голову, а кто любит жабу, как не иынтерпрайз? Так что в следущий раз выйдя из лесу, потрудитесь сами не болтать ерунду, здесь все же юмористический сайт.

     
     
  • 6.85, AnonuS (?), 22:03, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Уууууууууууу, скока букав и экспрессии, удивительно на что способен человек как таковой и Vaso в частности !!!

    Достаточно было одной-двух ссылок, а рассказы про "лес" можно было и вовсе опустить. Так что - "низачот".


     
  • 5.64, Аноним (-), 17:16, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Слухай, брат Аноним, ты или ссылкой делись

    Ать! http://thenextweb.com/apple/2013/02/19/apple-attacked-by-hackers-targeting-fa

    Ать! http://thenextweb.com/facebook/2013/02/15/facebook-java-exploit-used-to-insta

    Ать! http://thenextweb.com/microsoft/2013/02/23/microsoft-suffers-from-same-hackin

     
     
  • 6.83, AnonuS (?), 22:00, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Слухай, брат Аноним, ты или ссылкой делись
    > Ать! http://thenextweb.com/apple/2013/02/19/apple-attacked-by-hackers-targeting-fa
    > Ать! http://thenextweb.com/facebook/2013/02/15/facebook-java-exploit-used-to-insta
    > Ать! http://thenextweb.com/microsoft/2013/02/23/microsoft-suffers-from-same-hackin

    Спасибо, брат Аноним.

     
  • 2.3, Аноним (-), 23:07, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну не везёт просто и всё. А ведь всего-то что надо? Просто
    > поменять лицензию на GNU GPL 3. И отпустит.

    И чем в контексте уязвимостей в Java GPLv3 может помочь, что не может GPLv2 ?

     
     
  • 3.12, кверти (ok), 23:14, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    покажите мне исходники Java SE 7 Update 15
     
     
  • 4.15, freeday (?), 23:21, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну как бы http://hg.openjdk.java.net/jdk7u/jdk7u
     
     
  • 5.18, Andrey Mitrofanov (?), 23:32, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну как бы http://hg.openjdk.java.net/jdk7u/jdk7u

    [CODE]42 hours ago katleman Added tag jdk7u14-b14 for changeset bb97ad0c9e5a default tip[/CODE]

    Просветите меня тёмного, у них что, действительно всё _так_ плохо, и 'b14' - это 'Update 15'??

     
     
  • 6.19, Аноним (-), 23:41, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Просветите меня тёмного, у них что, действительно всё _так_ плохо, и 'b14' - это 'Update 15'??

    Вы на цифры не смотрите, это разные выпуски и разная схема нумерации. OpenJDK 7u14 в разработке и запланирован на апрель. И он никаким образом не пересекается с Oracle JDK 7u14.

     
  • 4.20, Аноним (-), 23:43, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://openjdk.java.net/projects/jdk7u/qanda.html

    When will this Project receive security fixes from Oracle?

    The schedule for Oracle Java SE Critical Patch Updates is publicly available.

    Security fixes for this Project's source code will be made available in the JDK 7 Update Project around the same time as they're released in products from Oracle.

     
  • 2.14, all_glory_to_the_hypnotoad (ok), 23:21, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    навряд ли. Там тупо очень много кода. Мегакомбайны и вещи в себе порочны
     
     
  • 3.17, Аноним (-), 23:31, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > навряд ли. Там тупо очень много кода. Мегакомбайны и вещи в себе
    > порочны

    Вы наверное сильно удивитесь, но Oracle JDK 7 изначально собирается из открытого OpenJDK.

     
     
  • 4.32, Аноним (-), 01:21, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы наверное сильно удивитесь, но Oracle JDK 7 изначально собирается из открытого OpenJDK.

    Это не отменяет того что там много кода. А учитывая склонность корпораций к наему недорогих быдлокодеров по экономическим причинам - наивно ожидать высокого качества такого кода.

    Результат очевиден: много кода при посредственном качестве == дофига багов, включая и баги так или иначе ведущие к уязвимостям.

     
  • 2.93, A (?), 03:01, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А может наоборот везет? С каждой исправленной уязвимостью их остается все меньше. Я сомневаюсь, что Adobe Flash надежнее и безопаснее, но внимания к нему почему-то меньше.
     

  • 1.4, Аноним (-), 23:08, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    applet надо бы давно запретить
     
  • 1.5, Слакварявод (?), 23:08, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как задолбало эти чортавы клиент-банки обновлять!!! ((((
     
     
  • 2.8, Аноним (-), 23:10, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Сочувствую. (пошли к черту).
     
     
  • 3.10, Аноним (-), 23:13, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Сочувствую. (пошли к черту).

    (пошли меня к чету!) ))))

     
     
  • 4.11, Аноним (-), 23:14, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сочувствую. (пошли к черту).
    > (пошли меня к чету!) ))))

    Сегодня же пятница! Маленький хелловин )))

     
  • 4.33, Аноним (-), 01:23, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > (пошли меня к чету!) ))))

    А можно и к нечету.

     
  • 2.9, Аноним (-), 23:12, 01/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > как задолбало эти чортавы клиент-банки обновлять!!! ((((

    Обновлять легко! Главное чтобы самопальных костылей не было.

     

  • 1.6, Аноним (-), 23:09, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Скоро словом JAVA будут пугать детишек.
     
     
  • 2.30, в (?), 01:08, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    только апплетами)
     
     
  • 3.46, Чел (?), 08:05, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Просто про апплеты мы знаем, их активней ищут, она на виду и слуху, т.к. затрагивают миллионы.

    "Есть мнение" (С), что остальная явка не менее дырява.

     
  • 2.52, iZEN (ok), 09:06, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    “Есть всего 2 типа языков: те, на которые все жалуются и те, которыми никто не пользуется”, — Бьерн Страуструп.
     
     
  • 3.66, Аноним (-), 17:20, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > “Есть всего 2 типа языков: те, на которые все жалуются и те,
    > которыми никто не пользуется”, — Бьерн Страуструп.

    Но столько ремотно эксплойтабельных дыр через которые натурально факапают пользователей - есть не у всех.

     
  • 3.77, all_glory_to_the_hypnotoad (ok), 20:06, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага, что ещё остаётся говорить отцу уродца
     
  • 3.80, kurokaze (ok), 21:08, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То то ты постоянно на с++ истерически жалуешься, ггг
     

  • 1.7, Stax (ok), 23:10, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Прямо такое ощущение, что какой-то ненавидящий оракл хакер припас пачку эксплоитов и теперь по одному их выдавливает. Как оракл раскачегарится, зарегистрирует проблему, осознает важность, сделает фикс, протестирует, выпустит, а тут хакер - оп-па - очередной эксплоит из шапки вытаскивает!

    Кстати, раньше этот хакер ненавидел adobe за его флеш. Но теперь оракл его раздражает больше.

     
     
  • 2.34, Аноним (-), 01:25, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Прямо такое ощущение, что какой-то ненавидящий оракл хакер припас пачку эксплоитов

    Пусть учатся у гугла и мозиллы как надо действовать чтобы хакеры сплойты сливали оптом производителю, а не на черный рынок. Хотя я конечно понимаю что древней корпорации с заржавелыми менеджерами сложно адаптироваться к современным реалиям.

     
  • 2.50, iZEN (ok), 09:01, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, раньше этот хакер ненавидел adobe за его флеш. Но теперь оракл его раздражает больше.

    Джеймс Гослинг? Билл Джой? Патрик Ногтон?


     

  • 1.13, Аноним (-), 23:16, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.

    Ну т.е., как обычно, на полгода-год

     
     
  • 2.67, Аноним (-), 17:21, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну т.е., как обычно, на полгода-год

    Лучше просто снести его совсем.

     

  • 1.16, bugmenot (ok), 23:29, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Рекомендуется отключить данный плагин вообще навсегда. Если вам нужна десктопная жаба, то плагин не нужен. Если нужен плагин (для банк-клента, например), то для этого стоит выделить отдельную копию браузера, которому запретить ходить на все остальные сайты.
     
     
  • 2.21, coba (?), 00:03, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А почему бы в плагине не сделать возможность включить его только для определенных сайтов?
     
     
  • 3.37, Crazy Alex (ok), 03:24, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ну, в мозилле лечится расширением. Как обычно, собственно.
     
  • 2.47, X86 (ok), 08:22, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Рекомендуется отключить данный плагин вообще навсегда. Если вам нужна десктопная жаба,
    > то плагин не нужен. Если нужен плагин (для банк-клента, например), то
    > для этого стоит выделить отдельную копию браузера, которому запретить ходить на
    > все остальные сайты.

    Или поменять уже банк.

     
  • 2.51, iZEN (ok), 09:02, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Рекомендуется отключить данный плагин вообще навсегда.

    Троян существует только для Windows.

     
     
  • 3.75, Аноним (-), 19:26, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Windows существует только для Троян.
     
  • 2.68, Аноним (-), 17:27, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > которому запретить ходить на все остальные сайты.

    А еще можно прыгать в ластах, с бубном, в гамаке. Для ублажения очередного горбатого совкобанка, раузмеется. В смысле, вам не кажется что так извращаться для получения услуги за свои же деньги - не есть нормально? К тому же серьезно настроенному хакеру ничто не помешает подменить DNS например кучей разных методов.

     
     
  • 3.99, Crazy Alex (ok), 12:12, 04/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    а где-то в России/Украине есть банки, у которых корпоративный клиент не на яве?
     

  • 1.22, Аноним (-), 00:17, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    ява снова дырява. izen, выходи выгораживать яву
     
     
  • 2.26, Andrey Mitrofanov (?), 00:32, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Аноним, 00:17 , 02-Мрт-13, (22)
    >izen, выходи

    iZEN, 00:19 , 02-Мрт-13 (23)

    Во, саммонинг-то прокачан у анонимного чувака! 8-O +++Чувак, зови сюда Линуса -- меркурятников материть?!

     
     
  • 3.69, Аноним (-), 17:27, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > меркурятников материть?!

    Команду демеркуризаторов во главе с Торвальдсом :)

     
  • 3.97, Linus (?), 21:23, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Аноним, 00:17 , 02-Мрт-13, (22)
    >>izen, выходи
    > iZEN, 00:19 , 02-Мрт-13 (23)
    > Во, саммонинг-то прокачан у анонимного чувака! 8-O +++Чувак, зови сюда Линуса --
    > меркурятников материть?!

    Работать идите, заводы стоят, мать вашу.
    А вы тут очередной dick-sucking contest устроили.

     
  • 2.40, Аноним (-), 03:42, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    зачем юродивого тревожите
     

  • 1.23, iZEN (ok), 00:19, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    JVM написана на C++ — это основная проблема.
     
     
  • 2.24, Stax (ok), 00:25, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ясно. А на каком языке должен быть был написан плагин для браузера, чтобы там так часто не находились эксплоиты? Разумеется, должна существовать возможность написать плагин для реальных современных браузеров на этом языке.
     
     
     
    Часть нити удалена модератором

  • 4.62, Stax (ok), 16:17, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо увиливать - конкретный язык, для которого можно написать плагин для файрфокса и хрома, пожалуйста :) Опционально еще IE.
     
  • 2.28, Led (ok), 00:36, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >JVM написана на C++ — это основная проблема.

    Верно, надо было на жаве его написать.

     
     
  • 3.96, YetAnotherOnanym (ok), 19:25, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > надо было на жаве его написать.

    ... и назвать jaja (по аналогии с pypy). Для особо упоротых - jajanaturlich.

     
  • 2.29, Andrey Mitrofanov (?), 00:36, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > JVM написана на C++ — это основная проблема.

    Да, плохому танцору мешает не танцевальное искусство театра БолЪшой.

     
  • 2.38, Карбофос (ok), 03:33, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я тебе раскрою большой секрет. дело не в том, на каком языке написано, а КАК написано. дурачье, правда, всё время думает, что их говнокод автоматически разколупает компилятор до стабильного идеала. в этой абстракции так и живут очень многие убогие жаба- и дотнеткодеры, в надежде на чудо саморазгребения кривейшего кода с множеством костылей.
     
     
  • 3.48, iZEN (ok), 08:53, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    “Си позволяет легко выстрелить себе в ногу; с C++ это сделать сложнее, но, когда вы это делаете, вы отстреливаете себе ногу целиком”, — Бьерн Страуструп.
     
     
  • 4.57, Карбофос (ok), 13:09, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    то есть ты испугался этих слов, и поэтому твой кругозор на столько ограничен? бедненький. да это сифобия у тебя.

    ещё раз перечитай, что я написал.
    фанатеки чего-либо вообще глухи и слепы к аргументации других. ты - типичный пример из этой серой массы фанатиков. в сектах происходит абсолютно то же самое, к примеру.

     
  • 4.81, kurokaze (ok), 21:10, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > “Си позволяет легко выстрелить себе в ногу; с C++ это сделать сложнее,
    > но, когда вы это делаете, вы отстреливаете себе ногу целиком”, —
    > Бьерн Страуструп.

    Ага, а прикинь что бы он прожабку сказал

     
     
  • 5.95, Карбофос (ok), 03:12, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    что-то вроде: стреляешь в ногу, а отлетает голова :)
     
  • 3.59, iZEN (ok), 14:17, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересное наблюдение: http://habrahabr.ru/post/171325/
    ///---
    EPOC и Symbian как платформа писалась сразу на C++, но во времена когда единого стандарта на С++ еще не было. Поэтому Симбиан известен своими мягко говоря «странными» особенностями программирования на C++, которые весьма нецензурно почитались разработчиками софта. Разработка целиком всей платформы, включая ядро, сразу на C++ привела еще к одной особенности. Ничего из уже существующего open source на ней было применить нельзя без портирования на C++, что и без того затрудняло и без того нелегкую разработку.

    Особенности С++, невозможность использовать open source пакетов на чистом C, и прочая самобытность операционки дополнялись полностью идиотской моделью SDK и девелоперской документации. Куча разрозненных пакетов API и слабоконсистентный вид их использования привели к интересной ситуации. Чтобы поставить себе среду разработки и написать “Hello World!” приложение, у среднего девелопера со знанием обычного C++ уходило до недели.
    ---///
    То же самое и с JVM, не касаясь всего JDK.

    Почему OpenJDK7 "ONLY_FOR_ARCHS= amd64 i386"? А где SPARC64, MIPS, PowerPC, ARM?!! Ведь всё что написано на C++ легко портируется! Ага, щаз. Ж)

     
     
  • 4.78, Аноним (-), 20:53, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    http://packages.debian.org/sid/openjdk-7-jdk

    А дебианщики-то и не знают...

     
  • 2.70, Аноним (-), 17:29, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > JVM написана на C++ — это основная проблема.

    А я думал что проблема явы - в том что это немеряный переросток с кучей кода, делаемый слоупочным корпорасом в основном. Поскольку кода много - это и так хорошая заявка на победу. А поскольку писали наполовину корпоративные кодеры "как подешевле" - вдвойне.

     
  • 2.86, pachanga (?), 22:14, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > JVM написана на C++ — это основная проблема.

    Годный троллинг, годный

     

  • 1.25, Аноним (-), 00:31, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    6 Update 42 будет?
     
     
  • 2.27, Andrey Mitrofanov (?), 00:35, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 6 Update 42 будет?

    ""В связи c прекращением времени жизни ветки Java SE 6, для которой больше не будут выпускаться публичные обновления, компания Oracle реализовала в Java SE 7 функцию удаления компонентов Java SE 6 при установке новой версии.""

    Примадонна уходит. Ты надеешься, что "опять"?

     
     
  • 3.72, Аноним (-), 17:38, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >удаления компонентов Java SE 6 при установке новой версии

    Еще бы она винду-ворду сносила заодно...

     
  • 2.35, Аноним (-), 01:26, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > 6 Update 42 будет?

    "Финальная версия явы, и всего-всего"? :)

     
  • 2.87, tonys (??), 22:27, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >6 Update 42 будет?

    Будет Java 8.
    Судя по количеству уязвимостей программисты в панике и истерично затыкая дыру тут же  открывают пару других.
    Поэтому проще будет переписать с нуля.
    Вот только кто будет этим героем?

     

  • 1.36, клитр (?), 02:25, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это какая-то фантомасгория. Даещь по 0-дэй уизвимости в Джаве каждую неделю. Сколько можно уже ЭТО использовать, если оно настолько дырявое. фу.
     
     
  • 2.39, Карбофос (ok), 03:39, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    судя по всему, этих уязвимостей там нашли много. просто порциями выдают.
    лет 5-6 назад был продемонстрирован подход комбинированного крэша, когда не просто тупо в одну функцию/метод суют некорректные данные, а комбинируют последовательность некорректных вызовов. была сенсация. о которой просто попытались быстро забыть. но далеко не все об этом методе позабыли, судя по всему.
     
     
  • 3.43, AnonuS (?), 05:07, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > судя по всему, этих уязвимостей там нашли много. просто порциями выдают.
    > лет 5-6 назад был продемонстрирован подход комбинированного крэша, когда не просто тупо
    > в одну функцию/метод суют некорректные данные, а комбинируют последовательность некорректных
    > вызовов. была сенсация. о которой просто попытались быстро забыть. но далеко
    > не все об этом методе позабыли, судя по всему.

    "Хорошо бы пива!"(С) В смысле не побалует ли брат Карбофосец статейкой или хотя бы ссылочкой на инфу, хочется подрасти над собой в плане расширения кругозора.

     
     
  • 4.58, Карбофос (ok), 13:51, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    подход похож на разновидность фаззинга. обычным фаззингом, к примеру, в адобовском флеш-проигрывателе, 1.5 года нзад было обнаружено 400 уязвимостей.
    а ссылку постараюсь найти. может даже на опеннете была новость
     
     
  • 5.82, AnonuS (?), 21:59, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > подход похож на разновидность фаззинга. обычным фаззингом, к примеру, в адобовском флеш-проигрывателе,
    > 1.5 года нзад было обнаружено 400 уязвимостей.
    > а ссылку постараюсь найти. может даже на опеннете была новость

    Спасибо за инфу, Карбофос, если и ссылочкой побалуешь, то цены тебе просто не будет.

     
     
  • 6.91, Michael Shigorin (ok), 01:43, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> обычным фаззингом, к примеру, в адобовском флеш-проигрывателе,
    >> 1.5 года нзад было обнаружено 400 уязвимостей.
    > Спасибо за инфу, Карбофос, если и ссылочкой побалуешь, то цены тебе просто
    > не будет.

    Да что ж тут баловать, вот первый результат в гугле на первый же запрос adobe flash player fuzzing: http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-scale.html

    Корми их тут, пои...

    :)

     
     
  • 7.92, AnonuS (?), 02:03, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Да что ж тут баловать, вот первый результат в гугле на первый
    > же запрос adobe flash player fuzzing: http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-scale.html

    Спасибо, Мишаня! Интересная ссылочка.

    > Корми их тут, пои...
    > :)

    Надо же братьев меньших-анонимных по зиме подкармливать. Да не отсохнет рука кормящая...

    :-)))

     
  • 7.94, Карбофос (ok), 03:05, 03/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это один из простых фаззингов использовался. та новость на пару лет раньше светилась, чем про 400 дыр в флеше. о чем я начинал разговор - более хитрый, комбинированный подход. пытаюсь найти, примерно в 2007-2008 году новость была. постараюсь завтра ещё поискать.
     

  • 1.55, Аноним (-), 11:06, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    заголовок поправьте, а то создается впечатление, что уязвимости в очередь выстраиваются, по расписанию
     
     
  • 2.56, XoRe (ok), 11:31, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > заголовок поправьте, а то создается впечатление, что уязвимости в очередь выстраиваются,
    > по расписанию

    А что не так?

    curl opennet.ru | grep Java && echo "Чорт, опять уязвимость!" && apt-get update && apt-get install jre jdk

    Так и живем :)

     
     
  • 3.71, Аноним (-), 17:30, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > apt-get install jre jdk
    > Так и живем :)

    ...инсталлируя яву каждый раз когда в ней находят дыру? Это такой тонкий мазохизм? :)

     
     
  • 4.79, Аноним (-), 20:55, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> apt-get install jre jdk
    >> Так и живем :)
    > ...инсталлируя яву каждый раз когда в ней находят дыру? Это такой тонкий
    > мазохизм? :)

    Так-то install обновляет пакет, если он уже установлен...

    А, вы вот о чём! Тогда purge вместо install.

     
  • 3.73, Michael Shigorin (ok), 18:36, 02/03/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > curl opennet.ru [...] && apt-get
    > Так и живем :)

    curl от рута?  Страшно так жить, наверное...

     

  • 1.74, Аноним (-), 18:57, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    заказ M$ на подрыв репутации JVM?
     
  • 1.88, Аноним (-), 22:50, 02/03/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как-то сомнительно,что кто-то один,или несколько сидят и перелопачивают тонны
    кода из реализаций JVM и всех java фреймворков,удачно выискивая уязвимости.
    Похоже эти уязвимости были кому-то давно известны,возможно этими кем-то
    были созданы,и которые бережно хранились для возможного использования в будущем.
     
     
  • 2.98, XoRe (ok), 12:07, 04/03/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Как-то сомнительно,что кто-то один,или несколько сидят и перелопачивают тонны
    > кода из реализаций JVM и всех java фреймворков,удачно выискивая уязвимости.
    > Похоже эти уязвимости были кому-то давно известны,возможно этими кем-то
    > были созданы,и которые бережно хранились для возможного использования в будущем.

    Тонны кода лопатить незачем.
    Можно поиграться с отладчиком.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру