Comments 63
Забавно, что-то похожее два года назад. Отрубил всё таки Java, всё равно редко пользуюсь. Но вопрос — разве при запуске Java из браузера, браузер не спрашивает «для работы Java необходимо разрешение» (Хром) и это не держит его от выполнения произвольного кода? Или это не спасает всё равно?
Даже в хроме зависит от настроек, коли я правильно помню… В FireFox и IE точно зависит только от настроек — или разрешено или нет.
Mozilla Firefox под Ubuntu Linux 10.04 ??? Опечатка или действительно на старой 10.04?
Да похоже действительно 10.04 но тогда не актуально так как 12.04.1 lts зарелизилась да и в ожидании 12.10
Ну там же не сказано, что на 12.04 он не работает. Просто не тестировалось.
Опять-же вопрос. Подвержены уязвимости оба — Oracle Java и OpenJDK или только Oracle.
уязвимость требует sun.awt.SunToolkit
cr.openjdk.java.net/~mchung/jdk7/b73/6879044/webrev.00/src/share/classes/sun/awt/SunToolkit.java-.html
/* 334  */    public static Field getField(final Class klass, final String fieldName) {
/* 335  */       return AccessController.doPrivileged(new PrivilegedAction<Field>() {
/* 336  */           public Field run() {
/* 337  */               try {
/* 338  */                   Field field = klass.getDeclaredField(fieldName);
/* 339  */                   assert (field != null);
/* 340  */                   field.setAccessible(true);
/* 341  */                   return field;
/* 342  */               } catch (SecurityException e) {
/* 343  */                   assert false;
/* 344  */               } catch (NoSuchFieldException e) {
/* 345  */                   assert false;
/* 346  */               }
/* 347  */               return null;
/* 348  */           }//run
/* 349  */       });
/* 350 */    }


Судя по строке 340 — будет и в OpenJDK работать
Эта была одна из последних версии, у которой оракловская ява ещё была в партнёрском репозитарии (уже даже не в основном). В последующих версиях её выперли, причём довольно грубо. После падения Sun Oracle отозвала разрешение на включение Java в дистрибутивы, после этого выпустила обновление безопасности. Canonical в ответ выпустила обновление, выключающее яву в браузерах. Позже, Canonical заменила пакеты Oracle Java в partner-репозитарии пустышками, тем самым вызвав массовое удаление Oracle JRE со всех машин. Сейчас Ubuntu, как и все другие дистрибутивы (кроме разве что какого-нибудь Oracle Linux), перешли на OpenJDK и IcedTea, которые основаны на другой кодовой базе под GPL и не наследуют баги Web Start и всякого enterprise-решета.
Забавно, что ближайший запланированный апдейт 16 октября.
Товарищам из Oracle поторопиться бы
В качестве временной меры защиты представители Metasploit предлагают полностью удалить Java из системы.

Побежал удалять java с tomcat и всеми приложениями в нем с сервера…
Главное не забудьте удлаить Eclipse/IDEA/NetBeans/IDEName, а так же затереть все сорцы, репо и так далее.
Вот я тоже подумывал об этом… даже не знаю, боюсь работы лишиться(
Нене, все схвачено. Вы так и скажите: Велели все, связанное с жабой удалить. Ибо на сайте вирус.
Вот, так и скажите: Давайте лучше на NaCl вирусах зарабатывать! Хром завоевал полмира, поможем завоевать ему еще столько же!
Почему-то вспомнил методологию ленивой разработки — функция/программа считается написанной изначально, и пишется реально только по первому запросу )))
Что-то не радуют меня подобные новости. :(
У нас клиент банк на Java. Зашёл с этой машинки куда-нибудь не туда и всё :(
Ну держите отдельный браузер, в котором будет включена ява. Я для этих целей поднял отдельный wine-префикс с виндовой явой и файрфоксом, всё работает там на ура.
Именно потому у меня отдельный браузер «только для банк-клиента». В остальных джавы нет.
Слышал от знакомых, что некоторые держат отдельную виртмашину только для банк-клиента.
Ситуация с этим сплойтом крайне опасная. Уже все авторы сплойт паков обновили свой арсенал. пробивается даже хром (!), хотя с хромом это временно
Я так понимаю, что проблема характерна для sun'овской JRE, а не для OpenJDK?
Я походил по ссылкам — никто не объясняет что там не так и в чём суть уязвимости. А «архитектурное» — возможно, касается потрохов Sun'овской JRE.
В качестве временной меры защиты представители Metasploit предлагают полностью удалить Java из системы.
Какое же у них хорошее чувство юмора, у этих ребят. :)
Проверил у себя, результат такой:
Apple JDK 1.6.0_31 не работает
Oracle JDK 1.7.0_06 работает
ОС: OS X 10.8.1
Так а что делает этот эксплойт и как запускается? Браузером на зараженный сайт или есть другие варианты?
Тот что по ссылке на винде запускает calc.exe, а вообще позволяет запускать процессы от имени пользователя что зашел с браузера на зараженный сайт. Обычно у апплета сильно огрнаичены права по-умолчанию, но здесь как раз нашли способ как их повысить.
Да, возможно выполнение команды типа «download &exec» и, таким образом, удалённая установка и запуск произвольного файла на уязвимой системе.
Верно. Браузером на заражённый сайт. О других вариантах пока не сообщалось
На metaspolit написано:
For now, our recommendation is to completely disable Java until a fix is available

переведено:
В качестве временной меры защиты представители Metasploit предлагают полностью удалить Java из системы.

только rm -rf /, только хардкор!
Приведите пример «completely disable Java» для различных платформ без удаления и я с удовольствием поправлю топик, сославшись на Вас, и признаю неточность перевода публично
Ну раз эксплойт работает через апплет, задизэблить джава плагин. Насколько я знаю, все современные браузеры позволяют это сделать.
Действительно. Слона-то я и не приметил.
Поправил статью, как и обещал.
chrome://plugins/ -> Java -> Java(TM) Platform SE, Java Deployment Toolkit -> Disable/Отключить
Больше никто извне не докажет, что у вас стоит Java.
неделю назад поймал вирус, который вымогал деньги через подписку на сотовый телефон, притворяясь, что для входа во вконтактик или mail.ru привязать сотовый, внедряя в html javasrcipt, который отправлял на forhttda.com номер телефона и со счета снимали деньги.
в ходе расследования нашел exe файл и рядом с тем же временем создания jar_cache5995781787071526935.tmp и было понятно как вирус пробрался. через 10 минут java была удалена с машины.
Более правильное решение — поставить NoScript и включать активное содержимое только на доверенных сайтах.
Да, US-CERT тоже пишет об этом:
«Using the Mozilla Firefox NoScript extension to whitelist web sites that can run scripts and access installed plugins will mitigate this vulnerability. See the NoScript FAQ for more information.»

Ссылку на US-CERT дал, а как решение — не добавил в пост. Поправлю
Кстати, насчет Хрома, у меня он спрашивает разрешение на запуск Java для любых сайтов. Я как понимаю если запретить запуск, то данный эксплоит не сработает?
SunOS 5.11 (x86) — работает
Mac OS X 10.7.4 (x86_64)-работает

уязвимости подвержена любая система с явой
Давно уже отключил Яву во всех браузерах, Adobe PDF никогда не устанавливал, флеш только на доверенных сайтах (ибо знаю, что в этих компаниях работают ленивые кривокодеры). Их уже много лет экплойтят по полной программе, и люди, кто их не отключает, вы реально странные, сами напрашиваетесь, чтобы вам троянов наустанавливали.
>>deeankin 29 августа 2012 в 07:57 #
>>Уже чуть меньше полу года во всех сплоит паках страны!
>>

Уважаемй мистер deeankin,
Тест Тьюринга Вbl не прoшли!
Попробуйте ещё раз.

Администрация. 8-)
Сегодня вроде исправили уязвимость. Вчера при проверке дополнений в FF меня просили отключить Java, а сегодня просто попросили обновить и теперь при обновлении показывает, что версия актуальная и не ругается. Или я что-то путаю???
Only those users with full accounts are able to leave comments. Log in, please.