Cragir Napisano Kwiecień 12, 2010 Zgłoś Share Napisano Kwiecień 12, 2010 Krytyczna luka w Java Luka ta pozwala na zdalne wykonanie dowolnego kodu na naszym komputerze. Po wejściu na odpowiednio spreparowaną stronę, za pomocą dowolnej przeglądarki może zostać uruchomiony w naszym systemie złośliwy kod. Na taki atak narażone są wszystkie systemy z rodziny Windows, a także niepotwierdzenie Linuks. Wykonanie ataku sprowadza się do wejścia na spreparowana stronę, wtedy witryna przekazuje odpowiednie polecenia do komponentów Java. W Windowsie luka obecna jest w kontrolce ActiveX Java Deployment Toolkit (IE), i wtyczce NPAPI (Firefox i inne przeglądarki wykorzystujące tą wtyczkę). Próba skutecznej ochrony przed tym zagrożeniem może okazać się trudna, ponieważ wyłączenie obsługi ActiveX lub wtyczki NPAPI nic w tym przypadku nie da. Mechanizmy takie jak Microsoft DEP (ang. Data Execution Prevention) lub ASLR (ang. Address Space Layout Randomization), również nie zabezpiecza nas przed zagrożeniem. Na chwilę obecną mozna tymczasowych środków ochronnych, dostępnych na TEJ stronie. Producent został powiadomiony o luce, jednak nie zamierza wypuścić odpowiedniej łatki w trybie przyspieszonym. Wielu ekspertów zaleca całkowite porzucenie Javy. Źródło: HARD CORE SECURITY LAB i wies.niak Link do komentarza Udostępnij na innych stronach More sharing options...
melon1992 Napisano Kwiecień 12, 2010 Zgłoś Share Napisano Kwiecień 12, 2010 Niewiarygodne Nie znam się na tych mechanizmach wszystkich, ale co może mi zaszkodzić (gry on-line, facebook)? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 12, 2010 Zgłoś Share Napisano Kwiecień 12, 2010 Te, a gdzie link do wies.niaka? A co może zagrozić? Wszystko, na dowolnej stronie można umieścić aplet z niebezpiecznym kodem. Link do komentarza Udostępnij na innych stronach More sharing options...
Periados Napisano Kwiecień 12, 2010 Zgłoś Share Napisano Kwiecień 12, 2010 A czy słowo "Java" nie powinno się odmieniać przez przypadki? Krytyczna luka w Javie a nie w Java. Wielu ekspertów zaleca całkowite porzucenie Javy. No, a tutaj już jest odmienione przez przypadek. To jak to w końcu jest? Język polski do najłatwiejszych nie należy, a humanista ze mnie żaden [Cragir] Link do komentarza Udostępnij na innych stronach More sharing options...
Cragir Napisano Kwiecień 12, 2010 Autor Zgłoś Share Napisano Kwiecień 12, 2010 Te, a gdzie link do wies.niaka? Robimy reklamę konta ? A co do tego jak może to zaszkodzić, to tak ja napisał Sevard, a stronach mogą znajdować się aplety do potencjalnie bezpiecznych stron, na których będzie czekać na nas przykra niespodzianka. Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 12, 2010 Zgłoś Share Napisano Kwiecień 12, 2010 Dowcip polega na tym, że zwykle wystarczy java w systemie i włączona obsługa javascriptu. Javascript woła kod javy, a przez buga java może wykonywać dowolne operacje na komputerze ofiary - np. pobrać coś (złośliwego) z netu i odpalić. Sprawdziłem kod przykładowej strony i na laptopie z xp bug zadziałał w IE oraz Fx. Na komputerze z windows 7 nie udało się odpalić szkodliwego kodu. Generalnie warto chwilowo unikać nieznanych, mogących stanowić zagrożenie stron, które mogą wykorzystywać tę lukę. Pod operą w obu wypadkach problem nie wystąpił. Link do komentarza Udostępnij na innych stronach More sharing options...
Bronek Napisano Kwiecień 13, 2010 Zgłoś Share Napisano Kwiecień 13, 2010 Trochę to strasznie brzmi, mam nadzieje, że sobie szybko z tym poradzą. Na taki atak narażone są wszystkie systemy z rodziny Windows, a także niepotwierdzenie Linuks. Czyli Linuks jest mniej narażony na atak? Już zaczynam się cieszyć, że korzystam z "drugiej strony mocy". Dzięki Cragir! Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 13, 2010 Zgłoś Share Napisano Kwiecień 13, 2010 Obecny kod jest napisany dla Windowsa, być może po drobnych modyfikacjach będzie działał równiez pod GNU/Linuksem, ale tu jest mały haczyk. Mianowicie w przypadku GNU/Linuksa inaczej podchodzi się do kwestii użytkowników i uprawnień. Normalny użytkownik nie ma prawa wprowadzać zmian w systemie, a raczej nikt inteligentny nie korzysta z konta roota, gdy to nie jest konieczne. W związku z tym wykonanie złośliwego kodu jest mniej groźne, gdyż system jako taki jest bezpieczny. Link do komentarza Udostępnij na innych stronach More sharing options...
Polecane posty
Zarchiwizowany
Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.