The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В сети обнаружен эксплоит, поражающий неисправленную уязвимость в Java 7

10.01.2013 22:46

В сети выявлен рабочий 0-day эксплоит, использующий неисправленную уязвимость в Java (CVE-2013-042). Наличие уязвимости подтверждено во всех версиях Java 7, в том числе в самом свежем выпуске Java 7 Update 10. Уязвимость позволяет организовать выполнение кода при открытии пользователем в браузере с активным Java-плагином специально оформленной web-страницы. Проблему усугубляет также то, что эксплоит уже используется для совершения массовых атак и поставляется в составе пакетов Cool Exploit Kit, Black Hole и Nuclear Pack, предназначенных для организации распространения вредоносного ПО. Сведений о сроках выпуска корректирующего обновления от Oracle пока не поступало. В качестве единственного способа защиты в настоящее время рекомендуется срочно отключить Java-плагин в браузере.

Дополнение 1: Разработчики Mozilla приняли решение внести все версии Java, вплоть до последних выпусков 7u10 и 6u38, в чёрный список дополнений, блокируемых по умолчанию в Firefox;

Дополнение 2: Компания Apple заблокировала Java 7 в браузере Safari;

Дополнение 3: Министерства внутренней безопасности США рекомендовало пользователям отключить Java-плагин в браузерах.

Дополнение 4: О вызывающей уязвимости ошибке компания Oracle была уведомлена ещё до выпуска октябрьского обновления Java, но Oracle отложила внесение исправлений.

  1. Главная ссылка к новости (http://labs.alienvault.com/lab...)
  2. OpenNews: Энтузиасты указали на необоснованность затягивания исправления уязвимостей в Java
  3. OpenNews: Обновление Java SE 6u37, Java SE 7u9 и MySQL с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/35804-java
Ключевые слова: java
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:59, 10/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >> В качестве единственного способа защиты в настоящее время рекомендуется срочно отключить Java-плагин в браузере.

    Смешно же. Есть NoScript, да и у FF есть Click-to-Play встроенный, кто его выключил - сам виноват.

     
     
  • 2.2, all_glory_to_the_hypnotoad (ok), 23:07, 10/01/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    это тоже смешно, ибо java-плагины нахер не нужны
     
     
  • 3.3, rshadow (ok), 23:15, 10/01/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да и сама java не особо то...
     
  • 3.11, bliss (?), 01:51, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, только многие софтописатели лабают клиентбанки на жабе. И мнения админа особо не спрашивают -- нужна она или нет.
     
     
  • 4.12, Crazy Alex (ok), 02:19, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, если клиентобанк не из браузера можно запустить - то не проблема. Если из браузера - ну экстеншн нужен, чтобы жабка только для данного сайта была доступна. В общем, на предприятиях это не проблема, а для частников клиентбанки сто лет как на  HTML, без всякой жабы.
     
     
  • 5.41, Anonimus Vulgaris (?), 13:24, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >для частников клиентбанки сто лет как на  HTML, без всякой жабы

    Так то оно так. Но справедливости ради не могу не заметить, что платежи по пластиковым картам, при заказах в интернет-магазинах, системы Assist и RBK Money и сейчас проводят при помощи java-апплетов.

     
  • 4.14, ОнанВарвар (?), 03:00, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да многие веб банк клиенты на джаве
     
     
  • 5.17, all_glory_to_the_hypnotoad (ok), 03:15, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    давно не встречал таки, все переползли на js/html или на обычные толстые клиенты. Но конкретно для банк клиента можно сделать отдельного юзера со специально настроенным окружением. Точнее даже не можно, а нужно
     
     
  • 6.31, Андрей (??), 09:14, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Полностью согласен :) Пару лет назад какой-то Юсовский банк специально выпустил специальную сборку LiveCD (на Ебунте, конечно же...), когда ему надоело нытьё типа "у меня кто-то деньги с карточки потырил...".
    зы: капча подтверждает - 96399 (сумма цифр - 9)
     
     
  • 7.35, Аноним (-), 10:11, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, это все красиво, но мы живем в правовом государстве (я про РФ) и при любой такой разборке, об украденных денежках или неправильном расчете/передаче..etc выяснится при проверке, что не клиент не некто-то на обратной стороне неимели права заявлять свои программульки как криптосредства (автоматически попадая под действия 152 инструкции ФАПСи - привет проверке от ФСБ) и тут же обязанны были использовать СЗИ от НСД (привет проверке от ФСТЭК) и тут же предписания а потом сокрее всего и штрафы обоим сторонам...
     
     
  • 8.49, Аноним (-), 20:08, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Оптимизм - это хорошо ... текст свёрнут, показать
     
  • 4.36, Аноним (-), 10:23, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Да, только многие софтописатели лабают клиентбанки на жабе. И мнения админа особо не спрашивают -- нужна она или нет.

    Клиентбанки с жабой и браузером под них в контейнеры или виртуалки. Joanna Rutkowska way рулит.

     
  • 3.46, none_first (ok), 15:25, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    хорошо - как реализовать криптование?...
    нативом? ;), через браузер - уже даже не смешно
    JS? - а как давно существуют стандартизованные реализации (https://www.opennet.ru/opennews/art.shtml?num=35788)
    какие ещё варианты?
     
     
  • 4.47, XoRe (ok), 18:31, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > хорошо - как реализовать криптование?...

    Что ви понимаете под криптованием?

     

  • 1.4, Аноним (-), 23:17, 10/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Надоело уже. Я ещё не успел с предыдущего раза включить, а опять выключать надо.
     
     
  • 2.19, Xasd (ok), 05:01, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я ещё не успел с предыдущего раза включить, а опять выключать надо.

    а я ещё не успел с своего прошлого раза (который был лет 5~10 назад) -- плугин этот установить :)

     

  • 1.5, Аноним (-), 23:41, 10/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Я ещё не успел с предыдущего раза включить

    Нафиг? Для местечковых задач проще отдельный профиль в браузере завести.

     
     
  • 2.32, Андрей (??), 09:15, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я ещё не успел с предыдущего раза включить
    > Нафиг? Для местечковых задач проще отдельный профиль в браузере завести.

    В експлорере? Ибо точатся по експлорер...

     
     
  • 3.39, Аноним (-), 11:24, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А если поставить огнелиса без жабы, а експлорер оставить под заточенное?
     

  • 1.7, Аноним (-), 00:39, 11/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наверное всё таки надо использовать OpenJDK в случаях если это возможно.
     
     
  • 2.30, Moomintroll (ok), 08:54, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Наверное всё таки надо использовать OpenJDK в случаях если это возможно.

    В том-то и проблема, что невозможно. :-(

    Щас навскидку не скажу, но наступал на граблю с какой-то управлялкой чем-то, то ли сервис-процессором какого-то сервера, то ли каким-то коммутатором, то ли...

     
     
  • 3.33, Андрей (??), 09:17, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Наверное всё таки надо использовать OpenJDK в случаях если это возможно.
    > В том-то и проблема, что невозможно. :-(
    > Щас навскидку не скажу, но наступал на граблю с какой-то управлялкой чем-то,
    > то ли сервис-процессором какого-то сервера, то ли каким-то коммутатором, то ли...

    С БинБанком на такие грабли наступал. По-умолчанию стоял IcedTea. А ихнему клиенту обязательно Oracle (тогда еще Санки) подавай...

     
  • 3.44, Stax (ok), 14:01, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    С некоторыми KVM'ами openjdk тоже не работает, т.к. содержит другую реализацию парзера xml, чем оракловая (собирают с какой-то из свободных, а оракл с какой-то проприетарной), которая себя иначе ведет на не полностью соответствующем стандарту xml'е, в частности. И код, использующий это, ломается..

    Конечно, по спецификациии реализация xml в джаве и не обязана работать всегда одинаково - для тех, кому нужна идентичность, есть медленная референсная реализация, но на практике многие не переключаются на нее, а используют "системную", но при этом завязываются на поведение - недочитали документацию, блин, и, как следствие, это не совместимо с openjdk или другими не-оракловыми сборками.

     

  • 1.8, Crazy Alex (ok), 00:42, 11/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хмм, тут iZEN, кажется, очень клеймил кривые поделки, да? Ну вот и ему прилетело. Это вам не во фреймворке баг и не в вики, пусть даже распространённых...
     
     
  • 2.24, Аноним (-), 08:03, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ему прилетело. Это вам не во фреймворке баг

    С некоторым натягом яву можно засчитать за фреймворк :)

     
  • 2.53, arisu (ok), 00:30, 14/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ошибки есть везде, умиляет другое: нежная, почти отеческая забота оракуля о пользователях их продукта. «истинно вам говорим: на бога одного уповайте, в нём ваше спасение; в молитвах каждодневных да посте очищающем. а патч… молитесь, бог пошлёт.»
     

  • 1.9, ILYA INDIGO (ok), 01:30, 11/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а в последнем openJDK + IcedTea (так вроде бы этот плагин называется) эта уязвимость есть?
     
     
  • 2.10, Аноним (-), 01:40, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, а в последнем openJDK + IcedTea (так вроде бы этот плагин называется) iBank2 работает?
     
     
  • 3.15, Клыкастый (ok), 03:01, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    угу. у кого токен нормальный. а вот у меня токен угрёбищный - только под win :(
     
  • 3.20, Xasd (ok), 05:06, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Интересно, а в последнем openJDK + IcedTea (так вроде бы этот плагин называется) iBank2 работает?

    как раз вот это совсем и НЕ интересно!

    тем кому нужен iBank2 и прочие браузерные небезопасные извращения, запускают окно Firefox через командную строку:

    $ firefox -no-remote -P unsafe_mode_for_iBank2

    а после использования банка -- закрывают это окно браузера! [потому что кроме Java-уязвимостей -- ещё существуют уязвимости: CSRF и ClickJacking]

    параллельно -- можно открыть другое браузерное окно Firefox -- обычным способом через стандартный ярлычёк (чтобы сёрфить по Фэйсбукам и прочим интернетам). оно не будет мешать банку.

    в окне браузера "unsafe_mode_for_iBank2" -- должна ОБЯЗАТЕЛЬНО быть установленна уникальная тема оформления. чтобы случайно не спутать окна браузера Firefox между собой!

     

  • 1.16, ОнанВарвар (?), 03:02, 11/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    за что я люблю фирефоксе что она сама отключает опасные плагины у нубов...
     
     
  • 2.18, all_glory_to_the_hypnotoad (ok), 03:17, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну да, и само по себе ёщё то решето со своими сырыми "инноваторскими" новинками
     
     
  • 3.22, Аноним (-), 05:23, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    стабильнее и не жрет столько оперативки как гуавнохром
     
     
  • 4.23, qwe (??), 07:30, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ахаххаа)) Посмеялся.
    Я пользователь хрома месяцами не выключаю браузер =)
    А что касается фф - все знают, что черная дыра дляя твоей оперативки. И это не просто "знание", а реальный результат опытов. В моем случае, фф работает не больше 4-х часов и полтора гига оперы сожрано неясно чем. Не знаю, как в новых версиях - т.к. не особо им заморачиваюсь.

    Ну не любишь ты хром, ну что ж ты так кипятишься =)

     
     
  • 5.26, Аноним (-), 08:06, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что касается фф - все знают, что черная дыра дляя твоей оперативки.

    Вот только почему-то хром валится в OOM при ~100 вкладках на 8 гигах оперативы, а FF даже если открыть 400 вкладок то догнать до хотя-бы 2Гб крайне сложно. Наверное отличие в том что он не плодит по процессу на вкладку, ага. И да, таки 100 процессов в списке задач - это люто.

     
     
  • 6.28, Пингвино (ok), 08:11, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > при ~100 вкладках

    Мне искренне жаль человека, который работает с сотней открытых вкладок.

     
     
  • 7.43, GentooBoy (ok), 13:54, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не стоит, в фф это удобно, группы спасают
     
  • 7.50, Аноним (-), 20:12, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мне искренне жаль человека, который работает с сотней открытых вкладок.

    Себя пожалейте. В лисе можно поставить TabMixPlus и настроить группировку вкладок рядом, так что они сгруппируются в "пласты" "по теме браузинга". И это будет вполне удобно в навигации. А между рестартами это такой "временный букмарк". Ну, который надо бы посмотреть, но совсем не факт что надо в перманентных букмарках.

    Вы в вашем праве строиться под браузер. А я лучше построю браузер пол себя. Сделав так как удобно лично мне.

     
     
  • 8.52, Пингвино (ok), 13:26, 12/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Речь не о браузере, как вы опрометчиво подумали, а о организации рабочего процес... текст свёрнут, показать
     
     
  • 9.55, arisu (ok), 00:35, 14/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    написал бы вместо этого спича проще 171 я не умею работать с большим количест... текст свёрнут, показать
     
  • 8.56, ызусефещк (?), 14:00, 14/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Мне больше нравится TreeStyleTab, особенно при нынешних широких мониторах ... текст свёрнут, показать
     
  • 7.54, arisu (ok), 00:33, 14/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне искренне жаль человека, который работает с сотней открытых вкладок.

    угу-угу. «мне искренне жаль человека, который ходит ногами. ведь инвалидное кресло значительно лучше!»

     
  • 5.37, ОнанВарвар (?), 10:56, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю, как в новых версиях - т.к. не особо им заморачиваюсь.

    Не знаешь, а говоришь... Сам себя обнаружил.

    На 2-ух древних ПК просто снёc хром, ибо толстый до не могу.

     
     
  • 6.38, ОнанВарвар (?), 11:01, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не знаю, как в новых версиях - т.к. не особо им заморачиваюсь.
    > Не знаешь, а говоришь... Сам себя обнаружил.
    > На 2-ух древних ПК просто снёc хром, ибо толстый до не могу.

    На одном из них флеш тоже почему-то постоянно "крах плагина", хотя последний и такой же как в ФФ...

     
  • 2.21, Xasd (ok), 05:18, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > за что я люблю фирефоксе что она сама отключает опасные плагины у
    > нубов...

    +1 ! это разрабы фокса молодцы!

    а вот за что я ненавижу нубов -- это за то что если какой-то редкий бухгалтерский сайт у них работает только через Microsoft Internet Explorer , то значит и на все остальные сайты они тоже будут посещать через Microsoft Internet Explorer !

    хоть 20 раз им скажи -- сёравно они не понимают как такое может быть чтобы на компьютере было-бы открыто сразу одновременно два браузера.

     
     
  • 3.40, Аноним (-), 13:11, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >сёравно они не понимают как такое может быть чтобы на компьютере было-бы открыто сразу одновременно два браузера.

    как такое может быть чтобы на компьютере было-бы открыто сразу одновременно два интернета.

    >починено во имя правды

     
  • 3.42, commiethebeastie (ok), 13:43, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    IEtab же
     
  • 3.48, XoRe (ok), 18:49, 11/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > хоть 20 раз им скажи -- сёравно они не понимают как такое
    > может быть чтобы на компьютере было-бы открыто сразу одновременно два браузера.

    Рекомендую включить режим усиленной защиты на IE.
    И внести в разрешенные только сайт банка - все сразу научатся.

     
     
  • 4.51, Xasd (ok), 08:19, 12/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    а это -- отличная задумка!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру