https://slinkov.ru/openforum/vsluhforumID3/78916.html В Oracle Java JRE найдена (http://secunia.com/advisories/45173/) критическая уязвимость, позволяющая (http://blog.acrossecurity.com/2011/07/binary-planting-goes-any-file-type.html) выполнить код злоумышленника вне виртуальной машины при открытии специально оформленных web-страниц при наличии в web-браузере активного Java-плагина. Проблема присутствует в последнем выпуске Java 6 update 26 (build 1.6.0_26-b03), о времени выхода обновления с исправлением проблемы пока ничего не известно.<br><br><br>Уязвимость связана с особенностью использования небезопасного режима загрузки исполняемых файлов в ситуации нехватки свободной памяти. Данная особенность может быть использована для выполнения произвольного внешнего приложения при открытии специальной HTML-страницы, в которой загружаемый апплет размещен на удаленном сервере WebDAV или SMB.<br><br><br><br><br><br>URL: http://secunia.com/advisories/45173/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=31167<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#21 Fri, 15 Jul 2011 05:08:22 GMT В принципе не встречал реально нужных java апплетов, так что сам не страдаю. Да и опера рулит с включением плагинов по требованию. Флеш там еще куда ни шло, ролики смотреть и т.п. А джава не нужен.<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#19 Wed, 13 Jul 2011 18:34:12 GMT Вредные номера телефонов полезно постить на хороших ресурсах - кому-нибудь удастся нагуглить и почитать наш тред. Уверен, ему поможет.<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#18 Wed, 13 Jul 2011 17:53:52 GMT Плохо искали, надо ходить по рекламе на всяких развлекательных сайтах и варезниках.<br>Проверено виндой в какбэящике :)<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#17 Wed, 13 Jul 2011 17:01:12 GMT Дык там реклама одного из операторов в коменте. Надо затереть - однозначно, если не проплачено...<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#16 Wed, 13 Jul 2011 14:02:15 GMT &gt; Я понимаю, что PoC. Лично у вас получилось создать левый процесс?<br><br>Да, экзешник запустился.<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#15 Wed, 13 Jul 2011 13:50:19 GMT Я понимаю, что PoC. Лично у вас получилось создать левый процесс?<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#14 Wed, 13 Jul 2011 12:48:48 GMT Одна НЕИСПРАВЛЕННАЯ, ИЗВЕСТНАЯ уязвимость. Чтобы поломать вас - достаточно и одной известной. А это как раз она и есть ;)<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#13 Wed, 13 Jul 2011 12:43:56 GMT &gt; Не работает нифига этот "эксплоит". По out of memory должен запускать экзешку <br>&gt; - у меня кроме потреблённых java 180Мб-230Мб ничего не происходит. Экзешку <br>&gt; пытался запустить свою.<br>&gt; PS Затрите наконец-то первый пост. в топике.<br><br>Согласен, ничего вытирать не надо. Пускай исправляют эту фигню:<br>- браузерописатели блокируют запуск плагинов без необходимости<br>- оракл - исправляет багу<br>- пользователи ставят плагины для файрфоксов/ие<br>- баннерные сети плачут от необходимости показывать только анимационный гиф.<br> https://slinkov.ru/openforum/vsluhforumID3/78916.html#12 Wed, 13 Jul 2011 12:38:29 GMT &gt; Кстати, ливсд с линухом и каким-нибудь антивирем поможет отцу русского предпринимательства.<br><br>Мне это всё известно, собственно, так и лечились все три пациента в компании.<br>При этом, один раз заражение происходило в моём присутствии:<br>- запущен process explorer,<br>- открываю браузер, старые вкладки перегружают динамический контент<br>- порождается дочерний браузеру процесс java.exe<br>- порождается дочерний к java.exe новый процесс с незапоминающимся цифровым названием<br>- всплывает окно поверх всех (но список процессов сбоку видно)<br><br>При этом:<br>- прописывается в shell какой-то мусор<br>- вытирается winlogon.exe, userinit.exe, taskmgr.exe - вместо них новый сплешскрин с вымогателем.<br><br>Пользователь не открывал ничего криминального, просто загрузился баннер.<br><br>Похоже, потому и появилось в Опере ручное разблокирование плагинов - клик на кружочек с треугольником в середине.<br>