V Jave vážna neopravená zraniteľnosť, odporúčané jej vypnutie

DSL.sk, 28.8.2012

V Java JRE, Java Runtime Environment, verzie 1.7 od Oracle sa nachádza extrémne vážna bezpečnostná zraniteľnosť, ktorá umožňuje útočníkovi získať kontrolu nad PC aj po spustení neprivilegovaného Java kódu, napríklad nepodpísaného appletu vo webovom prehliadači.

Na zraniteľnosť upozornila v nedeľu spoločnosť FireEye, ktorá identifikovala funkčné exploity zneužívajúce túto novú doteraz neznámu zraniteľnosť, používané pri cielených útokoch.

Plné detaily o zraniteľnosti zariaľ nie sú k dispozícii, podľa spoločnosti Errata Security ide o chybu v návrhu JRE umožňujúcu Java kódu zmeniť si svoje vlastné bezpečnostné oprávnenia cez tzv. Java reflection.

Podľa Errata Security sú zraniteľnosť a exploit účinné na plne aktualizovaných posledných verziách Windows 7 SP1, Ubuntu 12.04, Mac OS X 10.8.1 cez Firefox 14.0.1, IE 9, Safari 6 aj Chrome 21.

Chyba umožňuje útočníkovi použiť vo webovej stránke applet zneužívajúci túto zraniteľnosť, ktorý mu umožní spustiť zvolený kód a získať kontrolu nad PC zobrazujúcimi túto stránku so zapnutou Javou. Exploit je mimoriadne spoľahlivý, keď nemusí prekonávať bezpečnostné mechanizmy ASLR a DEP.

Keďže chyba je zatiaľ neopravená a exploit je verejne k dispozícii, viacerí bezpečnostní experti odporúčajú užívateľom minimálne v prehliadačoch si Javu vypnúť. Napríklad Chrome už štandardne Javu na webových stránkach nespúšťa, užívateľ musí jej spustenie explicitne povoliť.


Najnovšie články:



Diskusia:

java a java Od: java | Pridané: 28.8.2012 11:07 Čo na to vedenie v Jakarte? Odpovedať Známka: 8.6 Hodnotiť:

Re: java a java Od: Effe | Pridané: 28.8.2012 11:23 Tí to ešte nevedia :) Odpovedať Známka: 8.8 Hodnotiť:

tyva a tyva Od: _ubu_ | Pridané: 29.8.2012 18:53 zlaté XP... Odpovedať Známka: -4.3 Hodnotiť:

Hm zasa Od: Optiarc SONY | Pridané: 28.8.2012 11:09 Tie hluposti ako Java, Flash a pod. by uz mohli konecne skoncit, komu sa chce instalovat a obtazovat s timi deravymi bludmi. Odpovedať Známka: 2.1 Hodnotiť:

Re: Hm zasa Od: ewerew | Pridané: 28.8.2012 11:19 tiez si myslim. lenze dnes najdes chyby vsade - v html, v knizniciach, prehliadacoch... Odpovedať Známka: 8.7 Hodnotiť:

Re: Hm zasa Od: ............... | Pridané: 28.8.2012 19:46 jj, aj nam doma ledva dokoncili kniznicu, uz sa kyva ... Odpovedať Známka: 8.9 Hodnotiť:

Re: Hm zasa Od reg.: mmt z pn | Pridané: 28.8.2012 22:38 Nám v meste ju rekonštruovali... je ešte krajšia ako bola :D Odpovedať Známka: 2.7 Hodnotiť:

Re: Hm zasa Od reg.: tomexx | Pridané: 28.8.2012 21:20 Kde uz len v HTML najdes chybu...? Odpovedať Známka: 2.3 Hodnotiť:

Re: Hm zasa Od reg.: mmt z pn | Pridané: 28.8.2012 22:36 Kto hľadá nájde... nič nie je dokonalé... Odpovedať Známka: 3.8 Hodnotiť:

Re: Hm zasa Od: JCHxgzrt | Pridané: 28.8.2012 11:29 Keby nebolo Javy tak co si myslis ze by bezalo v tvojom PDA a ako by si posielal kvety? Odpovedať Známka: 5.7 Hodnotiť:

Re: Hm zasa Od: Mumsito | Pridané: 28.8.2012 12:10 Ak ho ma od Apple, tak ma stastie, pretoze tam bezi kompilovane C/C++/Objective-C ale inak by mal pruser. ;) Odpovedať Známka: -2.7 Hodnotiť:

Re: Hm zasa Od: Budovi | Pridané: 28.8.2012 15:44 Apple nevyrába PDA Odpovedať Známka: 9.1 Hodnotiť:

Re: Hm zasa Od: XMen | Pridané: 29.8.2012 0:05 v podstate vyraba len to nazyvaju smartfon a je to PDA doplnene o GSM/3G modul. Odpovedať Známka: -1.4 Hodnotiť:

Re: Hm zasa Od: hrajnoha | Pridané: 29.8.2012 0:32 a samozrejme pda s gms modulom existovali aj pred vifonom. Odpovedať Známka: 7.5 Hodnotiť:

Re: Hm zasa Od: M1m2x3x4 | Pridané: 29.8.2012 22:30 To snad myslis vifonkou, -:)) http://www.aktuality.sk /clanok/209990/ polievky-vifon-stiahli-z-predaja-klamali-nazvom/ Odpovedať Známka: 3.3 Hodnotiť:

Re: Hm zasa Od: XMen | Pridané: 30.8.2012 9:06 presne, sam som si chcel taky kupit tak pred 6timi rokmi. Uz vtedy som to povazoval ako dobry kocept telefonu, navigacie prip. inych vhodnych aplikacii. Pravda je, ze vtedy nemali tolko senzorov co maju dnesne smartfony. Odpovedať Známka: 3.3 Hodnotiť:

Re: Hm zasa Od reg.: mmt z pn | Pridané: 28.8.2012 16:34 "Dávam plus", ale mám vypnutý javascript :D Inak... ako sa to vypína v IE Verzia:9.0.8112.16421 Verzia aktualizácie: 9.0.9 (64-bitová & "klasická" edícia)? Nejaké nápady? Odpovedať Známka: -8.2 Hodnotiť:

Re: Hm zasa Od reg.: mmt z pn | Pridané: 28.8.2012 16:53 Prosím odpovedajte na môj príspevok nižšie (to jest nie na tento), ďakujem. Odpovedať Známka: -6.4 Hodnotiť:

Re: Hm zasa Od reg.: pan Inkognito | Pridané: 28.8.2012 13:09 tak tak... doba javy a flešu sa blíži ku koncu. To, že sú najpoužívanejšie neznamená, že sú aj najlepšie. Sú nenormálne nenásytné na HW a ich funkčnosť... otázna. Hlavne tá Java, to je poriadny vtip... pridaju do toho funkcie ktoré tam už dávno mali byť a hned je z toho 7mičková verzia. Je čas na HTML5 a Python. Odpovedať Známka: -0.6 Hodnotiť:

Re: Hm zasa Od: pan kognito | Pridané: 28.8.2012 13:10 lol! pobavil. Odpovedať Známka: -0.5 Hodnotiť:

Re: Hm zasa Od: chajda | Pridané: 28.8.2012 18:27 na jednej stane s nim suhlasim ze java je hnus na druhej strane python je este pomalsi ako java. ja myslim ze tento rok nas caka renesancia C++ uz len preto ze ho pretlaca Microsoft ako hlavny jazyk pre tvorbu metro apps. Odpovedať Známka: 0.8 Hodnotiť:

Re: Hm zasa Od: jozkooo | Pridané: 28.8.2012 13:25 FLASH ano ale Java nie. Java je stale najpouzivanejsi jazyk pre enterprise aplikacie vo velkych korporaciach. Flash aplikuju na impresiu pred klientom a tiez v obdobe na obydenie ciernej diery v podobe roznych druhov prehiadavoc interpretujucich obsah odlisne.. Odpovedať Známka: 0.0 Hodnotiť:

Re: Hm zasa Od: gtsezres | Pridané: 29.8.2012 1:49 To si písal lakťami počas srania? Ak áno, posielam sracák... Odpovedať Známka: 3.3 Hodnotiť:

Re: Hm zasa Od: Wiley | Pridané: 29.8.2012 17:48 :D :D :D Odpovedať Známka: 7.1 Hodnotiť:

Re: Hm zasa Od: Odbornik | Pridané: 28.8.2012 13:33 Ty si teda odbornik na Javu to je teda vidiet :) Urcite v HTML5 spravis neporovnatelne lepsie servre ako v jave PREC S JAVOU!!! :o Odpovedať Známka: 1.4 Hodnotiť:

Re: Hm zasa Od reg.: pan Inkognito | Pridané: 28.8.2012 14:28 Skutočne odborník, s dokonalým prehľadom k čomu HTML5 vlastne slúži... Pre mňa za mňa si sprav server z hex codu gif obrázkov, je to k tomu predurčené rovnako ako to html. Odpovedať Známka: 2.0 Hodnotiť:

Re: Hm zasa Od: koleno | Pridané: 28.8.2012 14:29 a cim chces teda ten flash nahradit? javascriptom? Odpovedať Známka: -4.3 Hodnotiť:

Re: Hm zasa Od: dddddddddddd | Pridané: 28.8.2012 18:29 flashove apps sa pisu v javascripte Odpovedať Známka: 8.0 Hodnotiť:

Re: Hm zasa Od: ddddddddddddddddd | Pridané: 28.8.2012 18:29 actionscript je odnoz jska Odpovedať Známka: 7.5 Hodnotiť:

Re: Hm zasa Od: koleno | Pridané: 28.8.2012 18:39 ale to je hadam trocha rozdiel, pouzit flash, alebo to smolit sam v JS. rychlejsie to nebude. Odpovedať Známka: -5.0 Hodnotiť:

Re: Hm zasa Od: JCHxgzrt | Pridané: 28.8.2012 18:40 ActionScript do verszie 2 bol inspirovany JavaScriptom. Od verzie 3 je prerobeny a inspirovany hlavne Javou a C# Odpovedať Známka: 6.0 Hodnotiť:

Re: Hm zasa Od: Adfg | Pridané: 28.8.2012 21:17 Action script je Ecma script based, tak isto ako javascript. Odpovedať Známka: 5.0 Hodnotiť:

Re: Hm zasa Od: dfghgghf | Pridané: 28.8.2012 22:29 ActionScript od verzie 3.0 je implementacia EcmaScriptu 4, standartdu ktory bol v roku 2007 zmeteny zo stola Mozillou a Microsoftom a nahradeny ECMAScriptom Harmony Odpovedať Známka: 5.0 Hodnotiť:

Re: Hm zasa Od: foobar0_ | Pridané: 28.8.2012 13:42 Flash je funkcionalitou daleko pred HTML5. Odpovedať Známka: 1.7 Hodnotiť:

Re: Hm zasa Od: stromcek | Pridané: 28.8.2012 13:45 Flash je nastrojmi daleko pred HTML5. Odpovedať Známka: 2.7 Hodnotiť:

Re: Hm zasa Od: Jolan | Pridané: 28.8.2012 14:26 HTML5 je licenčne ďaleko pred Flashom Odpovedať Známka: 4.3 Hodnotiť:

Re: Hm zasa Od: stromcek | Pridané: 28.8.2012 14:28 ano, hlavne co sa tyka proprietarnych kodekov. Odpovedať Známka: 7.8 Hodnotiť:

Re: Hm zasa Od: PeePay | Pridané: 28.8.2012 15:59 V dobrom, samozrejme. Odpovedať Známka: 8.8 Hodnotiť:

Re: Hm zasa Od: k77 | Pridané: 28.8.2012 14:07 aha.. cize java je nenasytna na HW, taky python nie, vsak? :) Odpovedať Známka: 6.9 Hodnotiť:

Re: Hm zasa Od: feromon | Pridané: 28.8.2012 14:13 aj html5 je strasne usporne, lebo na prehravanie videa ti staci <canvas> a <video> tag! Odpovedať Známka: 7.5 Hodnotiť:

Re: Hm zasa Od reg.: pan Inkognito | Pridané: 28.8.2012 14:21 Nie, nie je. Python beží úplne rozprávkovo aj na takom Raspberry Pi, skús tam kompilovať trochu väčšiu Javu a môžeš isť na kávu. Ako príklad na normálnom PC - Blender, ten je mixom C/++ a Pythona. Pluginy a aj render enginy sú väčšinou čisto Python. 7mb ram a 0.5% cpu po štarte je snaď veľa? JVMko by si hned pre istotu ukradlo 1 giga len tak "keby náhodou". Odpovedať Známka: -6.7 Hodnotiť:

Re: Hm zasa Od: JCHxgzrt | Pridané: 28.8.2012 14:25 A o -Xmx a -Xms parametroch si pocul ty parodia na programatora? Odpovedať Známka: 5.8 Hodnotiť:

Re: Hm zasa Od: ... | Pridané: 29.8.2012 23:31 virtualna pamat nikoho netrapi Odpovedať Známka: 0.0 Hodnotiť:

Re: Hm zasa Od: k77 | Pridané: 28.8.2012 14:49 ano, co sa tyka pamate je na tom java o nieco horsie (radovo asi 3x) ako python, ale co sa tyka rychlosti sa neda porovnavat, python je tak 30x pomalsi.. Dalsia vec, porovnavas beh pythonovskeho programu a kompilaciu javy.. skus si tam pustit kompilaciu C-ckovskeho programu a tiez mozes ist na kavu, chces z toho teda vyvodit, ze C je pomalsie ako python? (tym nechcem povedat, ze python je zly jazyk) Odpovedať Známka: 8.5 Hodnotiť:

Re: Hm zasa Od: wx2 | Pridané: 28.8.2012 22:10 Poculi ste o webworkeroch? Pouzivam ich na kodenie javascriptu... otvoris stranku, stranka bezi pekne plynule nic ti nemrzne ale na pozadi sa ti cez webworker pocitaju data a javascript v stranke reaguje len na spravy z webworkera,cize stranka nezamrza.... takymto sposobom mozem vykreslit napr. mapu slovenska po pixeloch cez innerhtml a kody farbieb mozem cerpat napr. zo xml suboru... Krasna java.. Odpovedať Známka: 6.0 Hodnotiť:

Re: Hm zasa Od: dlha rula | Pridané: 28.8.2012 22:16 IE dobre podporuje, nie? Odpovedať Známka: 6.7 Hodnotiť:

Re: Hm zasa Od: melege | Pridané: 29.8.2012 1:51 Brokolica zdarma! Odpovedať Známka: 7.1 Hodnotiť:

Re: Hm zasa Od: jrtjtrjjrtj | Pridané: 28.8.2012 13:15 komu sa chce ? asi tebe... nemam ani nepotrebujem, kedze sa hlavne pouzivaju na "time wasters" strankach Odpovedať Známka: 3.3 Hodnotiť:

Utorok, 28. augusta 2012, dnes má meniny Augustín, zajtra Nikola, Nikolaj Pošli kvety Od: PeePay | Pridané: 28.8.2012 11:30 Posielam exploit. Odpovedať Známka: 9.5 Hodnotiť:

Re: Utorok, 28. augusta 2012, dnes má meniny Augustín, zajtra Nikola, Nikolaj Pošli kvety Od: 3453535 | Pridané: 28.8.2012 11:42 (v dobrom samozrejme) Odpovedať Známka: 9.3 Hodnotiť:

posli Od: bulioso | Pridané: 28.8.2012 12:07 nahod link Odpovedať Známka: 7.5 Hodnotiť:

Re: posli Od: trombon | Pridané: 28.8.2012 12:08 nahadzujem a ty palkuj! Odpovedať Známka: 8.8 Hodnotiť:

Opera Od: Mumsito | Pridané: 28.8.2012 12:10 Ludia a Opera co? Ta nie je zranitelna? Odpovedať Známka: 6.7 Hodnotiť:

Re: Opera Od: rudolfzlesa | Pridané: 28.8.2012 12:13 určite, ale v dobrom samozrejme Odpovedať Známka: 9.3 Hodnotiť:

Re: Opera Od: afganistan draselny | Pridané: 28.8.2012 12:14 lol. Odpovedať Známka: 6.7 Hodnotiť:

Re: Opera Od: fin1 | Pridané: 28.8.2012 12:22 vsetci predsa vieme ze Opera je ... Odpovedať Známka: 9.1 Hodnotiť:

Re: Opera Od: news at 11 | Pridané: 28.8.2012 12:30 ... ten absolutne a bezkonkurencne... Odpovedať Známka: 7.9 Hodnotiť:

Re: Opera Od: afganistan draselny | Pridané: 28.8.2012 12:34 najvacsi pan! Odpovedať Známka: 4.8 Hodnotiť:

Re: Opera Od reg.: mmt z pn | Pridané: 28.8.2012 23:28 Pani! Opera... Keď ju miluješ, nie je čo riešiť... Ja však milujem inú :P Odpovedať Známka: 6.0 Hodnotiť:

Re: Opera Od: dfgsfh | Pridané: 29.8.2012 1:50 Zalez riťhnus... Odpovedať Známka: 0.0 Hodnotiť:

Who cares? Od reg.: Gyrxiur | Pridané: 28.8.2012 12:29 Mám noscript, na nedôveryhodných stránkach nič nepovolím a hotovo. Odpovedať Známka: -6.7 Hodnotiť:

Re: Who cares? Od: fdsfsdfsd | Pridané: 28.8.2012 13:11 mozme sa len modlit aby boli vsetci ako ty Odpovedať Známka: 7.3 Hodnotiť:

Re: Who cares? Od: fhffgdfdg | Pridané: 28.8.2012 13:12 si uzasny! hned je zivot krajsi Odpovedať Známka: 8.8 Hodnotiť:

Re: Who cares? Od: kvargla | Pridané: 28.8.2012 13:14 na vlada portosa nema. Odpovedať Známka: 7.3 Hodnotiť:

Re: Who cares? Od: fsdfsdfs | Pridané: 28.8.2012 13:17 dakujeme Bohu, ze existuje niekto ako si ty Odpovedať Známka: 8.6 Hodnotiť:

Re: Who cares? Od: Dfghk | Pridané: 28.8.2012 21:51 Dufam, ze v dobrom samozrejme. Odpovedať Známka: 8.3 Hodnotiť:

Takto... Od reg.: mmt z pn | Pridané: 28.8.2012 16:49 First question: Aký je rozdiel medzi Javou, JRE, Javasciptom a čo to vlastne treba vypnúť/zakázať/preinštalovať/odinštalovať? Question no.2: Treba niečo naviac odinštalovať/zakázať v prehliadači FF 15.0 beta... Rozšírenia/Zásuvné moduly: NoScript, Java Deployment Toolkit 7.0.atď., Java(TM) Platform SE 7 U 5 10.5.atď. ? Question no.3: Treba niečo naviac odinštalovať/zakázať v prehliadači Opera? Last question: Treba niečo naviac odinštalovať/zakázať v prehliadači IE? Odpovedať Známka: 0.0 Hodnotiť:

Re: Takto... Od: JCHxgzrt | Pridané: 28.8.2012 17:05 1. a) Java je vyvojova platforma + aplikacne prostredie + programovaci jazyk ... jeden pojem oznacuje toto vsetko b) JRE je prostredie v ktorom mozu bezat java aplikacie, cize akysi kontajner pre konkretne aplikacie c) JavaScript je nieco uplne ine, je to skriptovaci jazyk, ktory bezi vacsinou v tvojom prehliadaci. S Javou nema nic spolocne. 2. Nie 3. Nie Sputitelna Java aplikacia v browseri sa vola Java Applet. Pokial je Applet doveryhodny a zodpoveda zan nejaka firma/vlastnik, musi ho podpisat. Ked spustas podpisany applet tak davas niekomu pristup do tvojich system resources, ale na druhu stranu vies kto to je a kto je zodpovedny. Nepodpisane applety je vo vseobecnosti zly napad pustat pokial nevies na 100% co to je. Odpovedať Známka: 6.7 Hodnotiť:

Re: Takto... Od reg.: mmt z pn | Pridané: 28.8.2012 17:54 Ďakujem. Takže vlastne "mám veriť" že sa mi nič nedostalo do PC a nič nemusím meniť/zakazovať ani odinštalovávať? Dobre som pochopil? Inak myslel som si, že Java je IBA programovací jazyk. Že sa tak označuje skoro všetko a JavaScript je niečo úplne iné som ani len netušil :D JRE som tušil že je "Environment" teda prostredie,,, Ale že "Current Version Name Java 7 and Java 7 Update x... Replaces Old Name JRE 1.7" (http://www.java.com/en/download/help/index.xml) ma teraz fakt dostalo... Takže vlastne: Java 7 Update x je oná nebezpečná aplikácia, ktorú asi zakážem... a kým nevydá Oracle opravný exploit tak si novú určite nenainštalujem :) Odpovedať Známka: 3.3 Hodnotiť:

Re: Takto... Od: fin1 | Pridané: 28.8.2012 18:41 ti jeden opravny exploit mozem poslat aj teraz :D Odpovedať Známka: 3.3 Hodnotiť:

Re: Takto... Od: ferko heker | Pridané: 28.8.2012 18:48 posli posli. na tuto adresu: Odpovedať Známka: 7.5 Hodnotiť:

Re: Takto... Od reg.: mmt z pn | Pridané: 28.8.2012 23:35 Svoj exploit si nechaj. Ja si počkám na oficiálny :P Odpovedať Známka: 6.0 Hodnotiť:

Re: Takto... Od: JCHxgzrt | Pridané: 28.8.2012 18:42 Tak tak zakaz, ale hovorim taketo nebezpecie hrozi hlavne zo spustania pofidernych nepodpisanych appletov, tvoje denne browsovanie to zrejme nijak neovyplvyni ;) Odpovedať Hodnotiť:

Re: Takto... Od: mabrik | Pridané: 29.8.2012 22:36 Dakujem za normalne vysvetlenie, bez urazania tych ktori prave tomuto nerozumeju. Pre mna je asembler jednoduchy jazyk a toto nie. Odpovedať Hodnotiť:

heeeh Od: XMen | Pridané: 29.8.2012 0:12 celkom vtipne poznamky, hlavne co sa tyka toho HTML5 a javascriptu. Mam pocit, ze niektory ludia ani poriadne nevedia naco tieto zalezitosti sluzia a hned odsdzuju javu ako taku. Skuste si programovat enterprise systemy v jave tak 4 roky a potom si mozme spolu podebatovat. Ale inak naozaj velmi vtipne prispevky, som sa schuti zasmial. Odpovedať Známka: 2.0 Hodnotiť:

ff 15 Od: Bozzz | Pridané: 29.8.2012 12:11 myslim ze vo vcerajsej aktualizacii ff 15 je to uz opravene, alebo aspon java vypnuta Odpovedať Hodnotiť:

Bezpecne nezaujimavy Od: stone | Pridané: 29.8.2012 20:50 Facebook, youtube, a pcforum mi predpokladam ze PC nehackne a inde momentalne neleziem. Nic nevypinam aj tak su na tomto pc len somariny. Odpovedať Známka: 3.3 Hodnotiť:

Re: Bezpecne nezaujimavy Od: LuckyYou | Pridané: 30.8.2012 13:32 To je asi najlepšie čo môžeš robiť. Alebo, samozrejme, nepoužívať JRE od Oracle... :) Odpovedať Hodnotiť:

Pridať komentár