Свежие дырищща в Java

0

0

Не провокации флейма окоянного ради, а в образовательных целях только, даю сию ссылку

Там список из 9 дыр под грифом "☢HIGH CRITICAL☢" датируемых пятым и седьмым числами месяца марта сего года (то бишь намедни). Вот, например, первая:

> 1) Two unspecified errors in the Java Runtime Environment Virtual Machine can be exploited by a malicious, untrusted applet to read and write local files and execute local applications...

Дырки, конечно же, имеют пометку "remote" и мультиплатформенны. Обновление уже выпущено (jre6u5) и есть на главное странице ЛОРа.

Ссылка

←	Муки альтернативщиков...

Фокс хранит содержимое текстовых полей?

→

>есть на главное странице

Ссылка на глагне: http://www.linux.org.ru/view-message.jsp?msgid=2563997

anonymousI ★
(10.03.08 01:52:07 MSK)

Ответ на: комментарий от anonymousI 10.03.08 01:52:07 MSK

ссылка??7

Adjkru ★★★★★
(10.03.08 01:55:47 MSK)

Ссылка

Чем хороши дыры в винде: нашел уязвимость в lsass и юзаешь ее в течение многих леть, вдруг на нее выходит закладка, находишь новую дырку тамжо.

В java: ищешь дыру в течение многих лет, находишь, неуспеваешь написать эксплоит, как уже выходит обновление и все, из всех потенциальных жертв уязвимая виртуальная машина отсается только у тебя 8(

~~wfrr~~ ★★☆
(10.03.08 08:54:53 MSK)

Ответ на: комментарий от wfrr 10.03.08 08:54:53 MSK

Обидно ага...

Virun ★
(10.03.08 09:09:24 MSK)

Ссылка

Ответ на: комментарий от wfrr 10.03.08 08:54:53 MSK

Да ладно, кто эти виртуальные машины обновляет. Сами они вроде не обновляются, в альтернативной ОС по крайней мере.

~~Legioner~~ ★★★★★
(10.03.08 09:14:44 MSK)

все эти дыры про аплеты, и вебстарт. Ничего "remote" из того что может затронуть серверный софт здесь нету.

zort ☆
(10.03.08 10:07:25 MSK)

Ответ на: комментарий от zort 10.03.08 10:07:25 MSK

> Ничего "remote" из того что может затронуть серверный софт здесь нету.

Да, так и есть. Цели - конечные потребители.

shahid ★★★★★
(10.03.08 10:38:06 MSK) автор топика

Ответ на: комментарий от shahid 10.03.08 10:38:06 MSK

ну дык это на винфак. здесь конечных потребителей подозрительных аплетов не так много...

zort ☆
(10.03.08 10:54:34 MSK)

Ответ на: комментарий от Legioner 10.03.08 09:14:44 MSK

> Сами они вроде не обновляются, в альтернативной ОС по крайней мере

Отлично обновляются.

theos ★★★
(10.03.08 11:11:26 MSK)

Ссылка

Ответ на: комментарий от Legioner 10.03.08 09:14:44 MSK

> Да ладно, кто эти виртуальные машины обновляет. Сами они вроде не обновляются, в альтернативной ОС по крайней мере.

Обновляются! Это особенно смешно выглядит если в винду раз в месяц грузишься. Загружаешься, и тебя каждый раз приветствуют предложения обновить JRE, adobe reader, firefox, и вообше все что установлено :-)

gods-little-toy ★★★
(10.03.08 11:33:13 MSK)

Ссылка

Ответ на: комментарий от zort 10.03.08 10:54:34 MSK

> ну дык это на винфак.

тебе же сказали, "мультиплатформенные"!

А апплет, как ты узнаешь подозрительный он или нет. Мне до этого момента казалось что jre можно доверять больше чем флешу (по отзывам делающих флешки последний глюкалово ужасное, навряд ли ситуация с безопасностью лучше чем со всем остальным). А теперь оказывается и жабе нельзя доверять...

gods-little-toy ★★★
(10.03.08 11:42:31 MSK)

Ответ на: комментарий от gods-little-toy 10.03.08 11:42:31 MSK

> А апплет, как ты узнаешь подозрительный он или нет.

А еще если запускать подрят все программы, которые попадаются в инете то рано или поздно у тебя не станет /хоме, а то и всей системы. Вас это не настораживает?

// :(

anonymous
(10.03.08 12:01:13 MSK)

>Обновление уже выпущено (jre6u5) и есть на главное странице ЛОРа.

Не на главное, а на гламне, %u2erп@me%! Ч0ч0! 0нотеле следит, следи за грамматикой, .ц.ко.

anonymous
(10.03.08 12:05:57 MSK)

Ссылка

Ответ на: комментарий от anonymous 10.03.08 12:01:13 MSK

> А еще если запускать подрят все программы, которые попадаются в инете то рано или поздно у тебя не станет /хоме, а то и всей системы. Вас это не настораживает?

ты не догоняешь. идея Java-aпплетов в том, что они у клиента могут очень мало чего сделать - фактически только рисовавать в своей области экрана да звуки играть. На все остальное VM будет спрашивать разрешения пользователя

Этим aпплеты и отличаются от activex'ов и прочих программ - там запуск требует полного доверия автору программы, а тут нет.

gods-little-toy ★★★
(10.03.08 12:09:02 MSK)

Ссылка

Ответ на: комментарий от gods-little-toy 10.03.08 11:42:31 MSK

зря тебе что-то там казалось.... джава-плагин уже как много лет дырками плодоносит. Чистой жабе доверять можно. Всему что с ней интерфесится, в том числе ланчерам вроде джава-плагина и либам типа тех что для обработки картинок - нельзя.

zort ☆
(10.03.08 13:23:17 MSK)

Ответ на: комментарий от zort 10.03.08 13:23:17 MSK

Дырки то в JRE а не в лончерах.

~~Legioner~~ ★★★★★
(10.03.08 14:22:21 MSK)

Ссылка

Ответ на: комментарий от zort 10.03.08 13:23:17 MSK

И поэтому ты собираешься доверять Silverlight?

Karapuz ★★★★★
(10.03.08 14:39:36 MSK)

Ответ на: комментарий от Karapuz 10.03.08 14:39:36 MSK

Запарило это решето, ухожу на .NET

anonymous
(10.03.08 15:15:17 MSK)

Ответ на: комментарий от anonymous 10.03.08 15:15:17 MSK

>Запарило это решето, ухожу на .NET

Предлагаю вам идти на другую технологию, тоже из трех букв...

ps. php а не то что вы подумали.

~~wfrr~~ ★★☆
(10.03.08 15:51:25 MSK)

Ссылка

...среди долины ровныя

GreyDoom ★★★★
(12.03.08 09:13:57 MSK)

Ссылка

Ответ на: комментарий от Legioner 10.03.08 09:14:44 MSK

>Да ладно, кто эти виртуальные машины обновляет. Сами они вроде не обновляются, в альтернативной ОС по крайней мере.

В альтернативных ОС - возможно. В Gentoo же обновляется сразу после обновления портежа :) Это на автомате. А вручную, естественно, правкой одной цифры в имени ebuild'а обновится можно.

~~KRoN73~~ ★★★★★
(12.03.08 11:47:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Муки альтернативщиков...

Talks

Фокс хранит содержимое текстовых полей?

→

Похожие темы