Comments 41
От этого не легче. В больших компаниях этот плагин используется для работы, например, системы электронного документооборота и т.д. При чём имеются жётские требования ставить Java определённой версии. Если учесть, что многим интернет также нужен для работы, а кто-то и просто там бездельничает, чревато эпидемиями.
Для этого нужно всего ничего — два разных браузера. Один — с плагином нужной версии, второй — с отключенными плагинами.
Первый для работы с софтом, второй — для инета.
А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?
Решение простое и очевидное: нужно два компьютера. Один с Java для работы с документами, второй без неё для выхода в интернет.
Нет, я имел в виду по два компьютера каждому. Иначе придётся удваивать штат сотрудников.
Только с возрастом понимаешь, что в тупиковом положении инфантильная защитная реакция — обложить человека матом, да и хрен с ним! — хорошее решение. И ходить по улице лучше с топором. А в Интернет вообще не ходить. Никогда.

— О. Дивов, «Другие действия»
Шутки шутками, а всякий треш (типа кейгены и т.п.) я ищу (и тестирую) только с виртуалки. спокойнее оно как-то…
А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?

Отменить глупое распоряжение
В компаниях можно использовать AppLocker/SRP и требовать валидную подпись у аплетов.
Поставить приложение из веб-старт один раз, ярлык на десктоп, вылючить поддержку Java в браузере.
Пора бы уже сделать whitelist доменов для java-плагина. Для всех остальных блокировать либо делать запрос пользователю.
Проблемы оно конечно не решит т.к. в том же BlackHole используются эксплойты для pdf и flash плагинов.
Использование pdf.js вместо расширения от adobe тоже частично должен решить проблему.
Это хорошо, и полагаю процент пробиваемых систем на которых используется Chrome все же ниже, по сравнению с другими браузерами. Однако следует заметить что некоторые системы ДБО требуют для своей работы исключительно IE.
А IE регулируется политиками. Совершенно точно можно сделать whitelist на сайты, и, возможно, поигравшись с зонами и их настройками получится сделать ограничение на запуск скриптов с вайтлистом.

Что же касается плагина, я не знаю Java, но у меня есть подозрение, что код может не знать URL по которому он был получен. Поправьте, если не прав, плз.
Прочитав первую часть поста собрался было броситься спасать медвежонка томкат. А это оказывается проблема плагина. Не знаю у кого как, но у меня этот плагин под ФФ отказался работать еще несколько обновлений назад, а чинить я его и не пробовал — необходимости до сих пор не возникло…
Похоже, HD Moore делает сначала для эксплоит паков, а потом уже для метасплоита :)
Где больше платят видимо :). Банков много на java plugin…
Весь бифит или как его там…
Все таки решение выпилить Java Browser Plugin из MacOS было правильным, похоже это решето никогда не залатают.
Забавно. Не любое приложение на Java будет работать кроссплатформенно, зато вот уязвимости отлично кроссплатформятся. Ай да java :)
на сколько я понимаю работает начиная с 6-ой версии java. Видимо сильно в mozilla нахалтурили когда делали реализацию java scripting api… надеюсь что в 8-ой java для новой уже не мозиловской реализации этого api подобных косяков не будет.
Вообще в хроме ни один аплет без разрешения не запускается и я думаю постепенно такая опция будет присутствовать по умолчанию во всех браузерах, хотя делать это всё (вместе с настройками по запуску из браузера для самой java как в её последнем релизе) нужно было ещё раньше.
Следует напомнить, что после последнего апдейта Java for OS X (не оракловской) во всех OS X-браузерах Java-плагин отсутствует напрочь (опять же, если Вы не ставили оракловскую Java), так что спим спокойно :)
Так даже в IE java-плагин отсутствует из коробки, его тоже нужно ставить по необходимости. Но прикол в том, что эти плагины очень любит банковский софт, так что кому приходится с ним работать — ставят плагины. Так что тут можно сказать автоматически создается очень приятная для мошенников целевая аудитория.
Буквально позавчера и чисто случайно увидел что у меня NetBeans употребляет Java 6. Поставил 7 с офф сайта oracle. Думал ещё: а чем старше версия, тем больше дыр залатали. Сегодня увидел новость. Отрубил в Safari > Security > Enable Java. Так как в “Xprotect.plist” не увидел java 7. Непонятно
OKAY.
firefox заблокировал плагин от jre 7u10, а есть необходимость запустить апплет, без него крокодил не ловится, не растет кокос, и вообще бизнес простаивает. Как его включить?
обновление jre никакого результата не принесло (т.к. и так была последняя версия). Что
Oracle утверждает, что уязвисмость CVE-2013-0422 пофиксенна — www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html Неужели весь фикс состоит в том, что они повысили уровень безопасности по умолчанию на максимум и теперь все аплеты будут запрашивать подтверждение пользователей на запуск? Но при этом разрешенные аплеты все ровно будут иметь возможность проникать в систему пользователя. Хотелось бы поподробнее узнать об этом.
Only those users with full accounts are able to leave comments. Log in, please.