Czarne chmury nad Java?

[Rogal]

Błąd dotyczy wszystkich środowisk wykonawczych Javy (JRE) począwszy od Java 6 Update 10. Luka pozwala na odpalenie dowolnego kodu za pośrednictwem każdej z obecnych na rynku przeglądarek. Najbardziej podatne na ataki są systemy z rodziny Windows, chociaż udawało się odpalić złośliwy kod także pod Linuksem.

Problem ten jest efektem braku kontroli składnika Java Web Start, który domyślnie odtwarza wszystko zapisane w kodzie strony. Jeżeli zatem wpleciemy odpowiednio spreparowany kod, to możemy uzyskać dostęp do dowolnego folderu/narzędzia systemu. Przykładowe wykorzystanie tej luki znajdziecie pod tym adresem(dla tych u których to nie zadziałało powiem, że chodziło o samoczynne uruchomienie się kalkulatora systemowego).

Co ciekawe firma Oracle (od niedawna właściciel Sun Microsystems) pomimo natychmiastowego zawiadomienia o zaistniałej sytuacji nie zdecydowała się na wydanie trybie przyśpieszonym krytycznej łatki. Co zatem robić? Powstają amatorskie skrypty mające na celu badanie stron pod kątem niewłaściwych odwołań do Java Runtime Environment, jednak nie są one w stanie zapewnić 100% skuteczności. Zwykle blokują one wyświetlanie całości zawartości umieszczonej na stronie (tak profilaktycznie).

Na dzień dzisiejszy wygodnie i bezpiecznie będzie wyłączyć obsługę Javy w przeglądarce, zważywszy na to, że z tego potężnego ale i ciężkiego w odtwarzaniu środowiska korzysta w całości tylko kilka stron, reszta zaś wyświetla w niej niecałe 50 % swojej zawartości.

P.S.

Prawdopodobnie na łatkę będzie trzeba troszkę poczekać bowiem na Oracle wypiął się sam twórca środowiska Java - James Gosling. Czyżby zatem nastały ciężkie chwilę dla Javy i jej składników?

[Micz]

James Gosling jest twórcą Javy, ale nie trzeba czekać na jego reakcje, nad Java pracuje mnóstwo programistów.

Mówienie o czarnych chmurach nad Javą jest trochę przesadzone. Błąd dotyczy wyłącznie usługi web start, a nie całej Javy. Aplety Java i tak już dawno zostały wyparte ze stron internetowych przez aplikacje flasha. Pozycję apletów próbuje odzyskać javafx, ale na razie nie jest zbyt popularna.

A Java to dużo więcej niż aplety, większość banków internetowych napisana jest w Javie Enterprise, Java jest obecna na kartach inteligentnych, urządzeniach mobilnych, a także na płytach blu-ray do tworzenia menu i treści interaktywnych.  Więc ta dziura dotyczy tylko jednego elementu.

[Ralliart]

Co do kodu wykonawczego - zdecydowanie Sun jest daleko w polu z poprawką, a bagatelizowanie problemu nie służy takim projektom. Chociaż Micz ma rację, że w tym wypadku chodzi o jeden element z całej układanki. Niemniej niesmak pozostanie.

[Przem0l]

No cóż... SUN jest w końcu gigantem. Stać go na to aby mu się nie chciało, poza tym (jak sami przyznajecie) Java jest już wszędzie. Ona jest jak Windows: ludzie sa na nie skazani i czy wyjdzie poprawka dziś czy za kwartał to i tak nie odbije sie na popularności tego systemu.

[Rogal]

SUN

Już raczej Oracle Podejrzewam, że Sun wcale by nie zwlekał, skoro jest platformą dominującą.

Ciekawe co by było, gdyby otwartą architekturę Javy pod Linuksa przerobić na pliki .exe i zaimplementować ją w jakimś małym urządzeniu, oczywiście w dobrze napisanej i zoptymalizowanej formie.

[Micz]

Sun nadal nazywa się Sun, tylko właściciel się zmienił.

Java nie ma plików exe. Zresztą tylko Windows ma. Oczywiście da się skompilować Javę do exe, ale wtedy traci się przenośność aplikacji.

To co mówisz jest możliwe, ale trzeba mieć dedykowaną maszynę wirtualną pod to urządzenie.

[Rogal]

Czyli analogia - skoro zmienia się właściciel, to narzuca swoje zasady. To co dawniej było priorytetem teraz...nadal nim jest, ale ma mniejszy priorytet. Po prostu nie idzie po odpowiedniej linii przerwania IRQ Bo zawsze znajdzie się "coś ważniejszego". Tu widać już to jak wielką władzę ma Oracle poprzez SUN - wiedzą, że wykupili wszystko, bo wszystko chce tych rozwiązań. A godny konkurent...chyba ciężko takiego znaleźć

[Micz]

Jednym z powodów dla których Oracle kupiło Sun'a jest też pewnie MySQL, który jest własnością Sun'a.