» »

Previdno z Javo

Previdno z Javo

Krebs On Security - Enkrat jeseni se je na črnem trgu začelo trgovanje s posebej zahrbtno varnostno pomanjkljivostjo v namizni javi (J2SE), ki je očitno prisotna že dolga dolga leta, saj deluje na vseh glavnih izdajah platforme (7.0, 6.0, 5.0 in celo 1.x) in na vseh treh platformah (Linux, Mac OS X, Windows). Luknja omogoča zagon poljubnega sistemskega programa že z obiskom okužene spletne strani in to brez vsakršne potrditve s strani uporabnika. Prisotna je v večini popularnih exploit kitih, npr. Blackhole ($4000 za licenco + $200 mesečni najem prednameščenega strežnika), SEO Sploit Pack in od minulega tedna tudi v odprtokodnem Metasploitu (glej filmček za demonstracijo).

Varnostni raziskovalec Brian Krebs ob tem poudarja, da so pomanjkljivosti v Javi oz. Java Pluginu / Quickstarterju odgovorne že za tretjino do polovico oddaljenih napadov - pravzaprav so že krepko prehitele Adobe Flash/PDF in Microsoft Office med vektorji za dostavo malware-a. Ta konkretni exploit je označil kar za "darilo izdelovalcem exploit kitov" in uporabnike pozval, naj Javo, če je to le mogoče, odstranijo s svojega sistema oz. jo imajo nameščeno le v ločenem brskalniku za tistih par strani, ki jo res potrebujejo.

Oracle je popravek izdal že sredi oktobra, s presenetljivo malo podatki o naravi pomanjkljivosti. Problem je, da ga večina uporabnikov preprosto še ni namestila in zato ostaja izpostavljena okužbi zgolj s klikom na spretno skrajšan url na twitterju / facebooku ali v e-mailu. Iz tega razloga ima Google že poldrugo leto posebno distribucijsko pogodbo z Adobe: Flash pride prednameščen s Chromom, posodobitve pa se nameščajo samodejno ob zagonu brskalnika. Tako so uspeli znatno zmanjšati število računalnikov s staro in ranljivo različico vtičnika. Verjetno bo minilo še kar nekaj časa, preden se bo Oracle uspel domeniti za kaj podobnega, saj so trenutno močno skregani z Googlom okoli Dalvika (javanski navidezni stroj v Androidu), s kupom robatih potez okoli podedovanih odprtokodnih projektov SunOS, MySQL ali OpenOffice.org pa niso najbolje zapisani tudi pri Mozilli.

Tukaj lahko preverite, če in katero različico Jave imate, ter ali potrebujete popravek.

19 komentarjev

PARTyZAN ::

Ni potrebe po ločenem brskalniku z nameščenim Java pluginom. Je NoScript dodatek dovolj, pa še na ogromno druge nesnage postaneš imun.

RejZoR ::

Javo itaq uporabljam samo zaradi Minecrafta in nič drugega.
Angry Sheep Blog @ www.rejzor.com

neres ::

Java je sicer tudi po Microsoftovem mnenju največja tarča zle kode:
http://www.h-online.com/security/news/i...

Jaz je že dosti let ne uporabljam (in jo odsvetujem drugim) ravno zaradi tega.

V 99.9% strani itak rabiš kvečjemu Flash (pa še tu gre na boljše), tako da nima smisla inštalirat drugih pluginov.

Seljak ::

Itak nimam inštalirane Jave.

MrStein ::

Chrome vpraša pred vsakim zagonom jave na web strani.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

AndrejS ::

@PARTyZAN: Java in JavaScript ni isto !

PARTyZAN ::

Vem da ni, kam meriš?

http://noscript.net/

matejdro ::

A ni tako, da te najprej java za vsako stran vpraša, če se naloži ali ne?

MrStein ::

Ja v Chrome. V IE in FF pa ne. (razen s kakimi add-ini)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

matejdro ::

Ne vem no, pri FF vedno dobim takšno opozorilo:

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

MrStein ::

To dobiš, če hoče dostop do sistema in podobno. Za navadne applet-e ne vpraša. Na primer: http://java.sun.com/applets/jdk/1.4/dem...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

technolog ::

Tukaj lahko preverite, če in katero različico Jave imate, ter ali potrebujete popravek.


Your Java version: Version 6 Update 20

A ne pa da bi napisali, katere verzije so OK? Kaj mi zdej to pove?

Zgodovina sprememb…

ender ::

technolog: izključno zadnja verzija je varna - tvoja je pa 9 popravkov zadaj.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

technolog ::

No, plugin za javo je letel dol, doker ne bodo v ubuntu packaging team pripravli popravka. Itak java nima kej iskat na internetu.

A je zadeva permanent? Ali vse nevarnosti zginejo, ko zapreš brskalnik?

satfinder ::

V Sandboxie (peskovnik) instaliral Mozilla Firefox.
Izven peskovnika Java plugin, Java apps NE laufajo ... -)
Korak do konca in Naprej :).

Zgodovina sprememb…

enadvatri ::

Vse delovne postaje na sodiščih imajo nameščeno Javo in brskalnik Firefox. ;((

gslo ::

in ne samo na sodiščih, tudi v večini bolj varovanih oddelkov, ki delajo z občutljivimi informacijami. juhej :)

Zvezdica27 ::

navodila so "broken", moraš kar čarati, da se znajdeš (najdeš in nastaviš). Vem, da je v Linux to težko (root file-i), a lahko bi to uredili, da bi bila nadgradnja avtomatična ne pa da moraš drkati zadevo 15 min da najdeš kje je plugin, potem terminal levo in desno in ...

mah...

zz

technolog ::

Aja, če je še kdo na linuxu in hoče odstranit javo kot brskalniški plugin v firefoxu, potem naj odstrani icedtea v Tools > Add-ons.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v Hacking Team v divjino ponesel neznane ranljivosti

Oddelek: Novice / Varnost
158282 (4020) noraguta
»

Previdno z Javo (spet) (strani: 1 2 )

Oddelek: Novice / Varnost
7426499 (23176) Grumf
»

Izšel Google Chrome 12

Oddelek: Novice / Brskalniki
267894 (5447) Lion29
»

MacBook Air prvi padel (strani: 1 2 3 )

Oddelek: Novice / Varnost
12416897 (10745) poweroff

Več podobnih tem