Rogal Napisano 12 Kwiecień 2010 Zgłoś Share Napisano 12 Kwiecień 2010 Błąd dotyczy wszystkich środowisk wykonawczych Javy (JRE) począwszy od Java 6 Update 10. Luka pozwala na odpalenie dowolnego kodu za pośrednictwem każdej z obecnych na rynku przeglądarek. Najbardziej podatne na ataki są systemy z rodziny Windows, chociaż udawało się odpalić złośliwy kod także pod Linuksem. Problem ten jest efektem braku kontroli składnika Java Web Start, który domyślnie odtwarza wszystko zapisane w kodzie strony. Jeżeli zatem wpleciemy odpowiednio spreparowany kod, to możemy uzyskać dostęp do dowolnego folderu/narzędzia systemu. Przykładowe wykorzystanie tej luki znajdziecie pod tym adresem(dla tych u których to nie zadziałało powiem, że chodziło o samoczynne uruchomienie się kalkulatora systemowego). Co ciekawe firma Oracle (od niedawna właściciel Sun Microsystems) pomimo natychmiastowego zawiadomienia o zaistniałej sytuacji nie zdecydowała się na wydanie trybie przyśpieszonym krytycznej łatki. Co zatem robić? Powstają amatorskie skrypty mające na celu badanie stron pod kątem niewłaściwych odwołań do Java Runtime Environment, jednak nie są one w stanie zapewnić 100% skuteczności. Zwykle blokują one wyświetlanie całości zawartości umieszczonej na stronie (tak profilaktycznie). Na dzień dzisiejszy wygodnie i bezpiecznie będzie wyłączyć obsługę Javy w przeglądarce, zważywszy na to, że z tego potężnego ale i ciężkiego w odtwarzaniu środowiska korzysta w całości tylko kilka stron, reszta zaś wyświetla w niej niecałe 50 % swojej zawartości. P.S. Prawdopodobnie na łatkę będzie trzeba troszkę poczekać bowiem na Oracle wypiął się sam twórca środowiska Java - James Gosling. Czyżby zatem nastały ciężkie chwilę dla Javy i jej składników? Odnośnik do komentarza Udostępnij na stronach More sharing options...
Micz Napisano 13 Kwiecień 2010 Zgłoś Share Napisano 13 Kwiecień 2010 James Gosling jest twórcą Javy, ale nie trzeba czekać na jego reakcje, nad Java pracuje mnóstwo programistów. Mówienie o czarnych chmurach nad Javą jest trochę przesadzone. Błąd dotyczy wyłącznie usługi web start, a nie całej Javy. Aplety Java i tak już dawno zostały wyparte ze stron internetowych przez aplikacje flasha. Pozycję apletów próbuje odzyskać javafx, ale na razie nie jest zbyt popularna. A Java to dużo więcej niż aplety, większość banków internetowych napisana jest w Javie Enterprise, Java jest obecna na kartach inteligentnych, urządzeniach mobilnych, a także na płytach blu-ray do tworzenia menu i treści interaktywnych. Więc ta dziura dotyczy tylko jednego elementu. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Ralliart Napisano 13 Kwiecień 2010 Zgłoś Share Napisano 13 Kwiecień 2010 Co do kodu wykonawczego - zdecydowanie Sun jest daleko w polu z poprawką, a bagatelizowanie problemu nie służy takim projektom. Chociaż Micz ma rację, że w tym wypadku chodzi o jeden element z całej układanki. Niemniej niesmak pozostanie. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Przem0l Napisano 14 Kwiecień 2010 Zgłoś Share Napisano 14 Kwiecień 2010 No cóż... SUN jest w końcu gigantem. Stać go na to aby mu się nie chciało, poza tym (jak sami przyznajecie) Java jest już wszędzie. Ona jest jak Windows: ludzie sa na nie skazani i czy wyjdzie poprawka dziś czy za kwartał to i tak nie odbije sie na popularności tego systemu. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Rogal Napisano 14 Kwiecień 2010 Autor Zgłoś Share Napisano 14 Kwiecień 2010 SUNJuż raczej Oracle Podejrzewam, że Sun wcale by nie zwlekał, skoro jest platformą dominującą. Ciekawe co by było, gdyby otwartą architekturę Javy pod Linuksa przerobić na pliki .exe i zaimplementować ją w jakimś małym urządzeniu, oczywiście w dobrze napisanej i zoptymalizowanej formie. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Micz Napisano 14 Kwiecień 2010 Zgłoś Share Napisano 14 Kwiecień 2010 Sun nadal nazywa się Sun, tylko właściciel się zmienił. Java nie ma plików exe. Zresztą tylko Windows ma. Oczywiście da się skompilować Javę do exe, ale wtedy traci się przenośność aplikacji. To co mówisz jest możliwe, ale trzeba mieć dedykowaną maszynę wirtualną pod to urządzenie. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Rogal Napisano 14 Kwiecień 2010 Autor Zgłoś Share Napisano 14 Kwiecień 2010 Czyli analogia - skoro zmienia się właściciel, to narzuca swoje zasady. To co dawniej było priorytetem teraz...nadal nim jest, ale ma mniejszy priorytet. Po prostu nie idzie po odpowiedniej linii przerwania IRQ Bo zawsze znajdzie się "coś ważniejszego". Tu widać już to jak wielką władzę ma Oracle poprzez SUN - wiedzą, że wykupili wszystko, bo wszystko chce tych rozwiązań. A godny konkurent...chyba ciężko takiego znaleźć Odnośnik do komentarza Udostępnij na stronach More sharing options...
Micz Napisano 14 Kwiecień 2010 Zgłoś Share Napisano 14 Kwiecień 2010 Jednym z powodów dla których Oracle kupiło Sun'a jest też pewnie MySQL, który jest własnością Sun'a. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Recommended Posts