форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в Oracle Java"	+/–
Сообщение от opennews on 13-Июл-11, 00:00
В Oracle Java JRE найдена (http://secunia.com/advisories/45173/) критическая уязвимость, позволяющая (http://blog.acrossecurity.com/2011/07/binary-planting-goes-a...) выполнить код злоумышленника вне виртуальной машины при открытии специально оформленных web-страниц при наличии в web-браузере активного Java-плагина. Проблема присутствует в последнем выпуске Java 6 update 26 (build 1.6.0_26-b03), о времени выхода обновления с исправлением проблемы пока ничего не известно. Уязвимость связана с особенностью использования небезопасного режима загрузки исполняемых файлов в ситуации нехватки свободной памяти. Данная особенность может быть использована для выполнения произвольного внешнего приложения при открытии специальной HTML-страницы, в которой загружаемый апплет размещен на удаленном сервере WebDAV или SMB. URL: http://secunia.com/advisories/45173/ Новость: https://www.opennet.ru/opennews/art.shtml?num=31167
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Критическая уязвимость в Oracle Java"	+/–
Сообщение от Анонимко on 13-Июл-11, 00:00
"Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии, детского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН номер 89067246518 на указанную выше сумму. В случае оплаты суммы равной штрафу либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно уничтожены."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Критическая уязвимость в Oracle Java"	+1 +/–
	Сообщение от Анонимко on 13-Июл-11, 00:10
	Кстати, после этого, в очередном обновлении Оперы увидел опцию "Включать плагины только по запросу" (Настройка -> Содержимое)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от ананим on 13-Июл-11, 11:02
	т.е. Чтобы увидеть это сообщение нужно кликнуть мышкой на 1 раз больше. зыж при чём тут жабаплагин - мне не понятно. Такие смс блокираторы отлично обходятся и без него. Кстати, ливсд с линухом и каким-нибудь антивирем поможет отцу русского предпринимательства.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	12. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Анонимка on 13-Июл-11, 16:38
	> Кстати, ливсд с линухом и каким-нибудь антивирем поможет отцу русского предпринимательства. Мне это всё известно, собственно, так и лечились все три пациента в компании. При этом, один раз заражение происходило в моём присутствии: - запущен process explorer, - открываю браузер, старые вкладки перегружают динамический контент - порождается дочерний браузеру процесс java.exe - порождается дочерний к java.exe новый процесс с незапоминающимся цифровым названием - всплывает окно поверх всех (но список процессов сбоку видно) При этом: - прописывается в shell какой-то мусор - вытирается winlogon.exe, userinit.exe, taskmgr.exe - вместо них новый сплешскрин с вымогателем. Пользователь не открывал ничего криминального, просто загрузился баннер. Похоже, потому и появилось в Опере ручное разблокирование плагинов - клик на кружочек с треугольником в середине.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "Критическая уязвимость в Oracle Java"	+1 +/–
Сообщение от Vernat (ok) on 13-Июл-11, 00:04
То есть это не тока под виндой дыра ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Критическая уязвимость в Oracle Java"	–1 +/–
	Сообщение от Аноним (??) on 13-Июл-11, 00:46
	В большенстве случаев - только под виндой. Под линухом же openjdk обычно.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Критическая уязвимость в Oracle Java"	–1 +/–
Сообщение от Аноним (??) on 13-Июл-11, 08:56
Ява такая ява... > о времени выхода обновления с исправлением проблемы пока ничего не известно. ...особенно вот это.Пока до оракла допрет, всех расхакают уже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Критическая уязвимость в Oracle Java"	+/–
Сообщение от рфьыеук on 13-Июл-11, 11:10
Из опытов над сайтами, которые через яву сажают в систему блокиратор. В линухе браузер тупо вешается (опера, хром). Иногда сайт бывает даже юзабельным. В винде получаем блокиратор и пучек троянов и бэкдоров до кучи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Aman (ok) on 13-Июл-11, 12:42
	Куда надо идти, чтоб получить блокиратор? У меня не получается, всё работает.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	18. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Аноним (??) on 13-Июл-11, 21:53
	Плохо искали, надо ходить по рекламе на всяких развлекательных сайтах и варезниках. Проверено виндой в какбэящике :)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Критическая уязвимость в Oracle Java"	+/–
Сообщение от Аноним (??) on 13-Июл-11, 13:53
Всего лишь одна уязвимость? Обычно их исправляют от 20 до 100.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Аноним (??) on 13-Июл-11, 16:48
	Одна НЕИСПРАВЛЕННАЯ, ИЗВЕСТНАЯ уязвимость. Чтобы поломать вас - достаточно и одной известной. А это как раз она и есть ;)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Критическая уязвимость в Oracle Java"	+/–
Сообщение от Aman (ok) on 13-Июл-11, 15:08
Не работает нифига этот "эксплоит". По out of memory должен запускать экзешку - у меня кроме потреблённых java 180Мб-230Мб ничего не происходит. Экзешку пытался запустить свою. PS Затрите наконец-то первый пост. в топике.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Stroncyi on 13-Июл-11, 16:31
	> Не работает нифига этот "эксплоит". По out of memory должен запускать экзешку > - у меня кроме потреблённых java 180Мб-230Мб ничего не происходит. Экзешку > пытался запустить свою. > PS Затрите наконец-то первый пост. в топике. К сожалению, работает, причем на всех виндах и браузерах, если эту дыру не закроют как можно быстрее начнется такая эпидемия блокираторов, что тушите свет. В ссылке в топике не эксплойт, а просто PoC. Чтобы стал эксплойтом надо чутка переделать.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	15. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Aman (ok) on 13-Июл-11, 17:50
	Я понимаю, что PoC. Лично у вас получилось создать левый процесс?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	16. "Критическая уязвимость в Oracle Java"	+1 +/–
	Сообщение от Stroncyi on 13-Июл-11, 18:02
	> Я понимаю, что PoC. Лично у вас получилось создать левый процесс? Да, экзешник запустился.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	13. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Анонимка on 13-Июл-11, 16:43
	> Не работает нифига этот "эксплоит". По out of memory должен запускать экзешку > - у меня кроме потреблённых java 180Мб-230Мб ничего не происходит. Экзешку > пытался запустить свою. > PS Затрите наконец-то первый пост. в топике. Согласен, ничего вытирать не надо. Пускай исправляют эту фигню: - браузерописатели блокируют запуск плагинов без необходимости - оракл - исправляет багу - пользователи ставят плагины для файрфоксов/ие - баннерные сети плачут от необходимости показывать только анимационный гиф.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	17. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от зИЛИБОБА леница логиница on 13-Июл-11, 21:01
	Дык там реклама одного из операторов в коменте. Надо затереть - однозначно, если не проплачено...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	19. "Критическая уязвимость в Oracle Java"	+/–
	Сообщение от Анонимко on 13-Июл-11, 22:34
	Вредные номера телефонов полезно постить на хороших ресурсах - кому-нибудь удастся нагуглить и почитать наш тред. Уверен, ему поможет.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Критическая уязвимость в Oracle Java"	+/–
Сообщение от Веслый Молочник (ok) on 15-Июл-11, 09:08
В принципе не встречал реально нужных java апплетов, так что сам не страдаю. Да и опера рулит с включением плагинов по требованию. Флеш там еще куда ни шло, ролики смотреть и т.п. А джава не нужен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема