Комментарии 41
Не успели отбурлеть говна по поводу рельс…
И в очередной раз хочется поправить: не в Java, а в Java Browser Plugin.
От этого не легче. В больших компаниях этот плагин используется для работы, например, системы электронного документооборота и т.д. При чём имеются жётские требования ставить Java определённой версии. Если учесть, что многим интернет также нужен для работы, а кто-то и просто там бездельничает, чревато эпидемиями.
Для этого нужно всего ничего — два разных браузера. Один — с плагином нужной версии, второй — с отключенными плагинами.
Первый для работы с софтом, второй — для инета.
Первый для работы с софтом, второй — для инета.
А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?
Решение простое и очевидное: нужно два компьютера. Один с Java для работы с документами, второй без неё для выхода в интернет.
А еще два работника: один работает с Java, другой без…
Нет, я имел в виду по два компьютера каждому. Иначе придётся удваивать штат сотрудников.
А в инет вообще надо с виртуалки ходить, да… ;)
Вы где-то потеряли свое чувство юмора…
А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?
Отменить глупое распоряжение
В компаниях можно использовать AppLocker/SRP и требовать валидную подпись у аплетов.
Поставить приложение из веб-старт один раз, ярлык на десктоп, вылючить поддержку Java в браузере.
Пора бы уже сделать whitelist доменов для java-плагина. Для всех остальных блокировать либо делать запрос пользователю.
Проблемы оно конечно не решит т.к. в том же BlackHole используются эксплойты для pdf и flash плагинов.
Использование pdf.js вместо расширения от adobe тоже частично должен решить проблему.
Проблемы оно конечно не решит т.к. в том же BlackHole используются эксплойты для pdf и flash плагинов.
Использование pdf.js вместо расширения от adobe тоже частично должен решить проблему.
Хром так и делает
Это хорошо, и полагаю процент пробиваемых систем на которых используется Chrome все же ниже, по сравнению с другими браузерами. Однако следует заметить что некоторые системы ДБО требуют для своей работы исключительно IE.
А IE регулируется политиками. Совершенно точно можно сделать whitelist на сайты, и, возможно, поигравшись с зонами и их настройками получится сделать ограничение на запуск скриптов с вайтлистом.
Что же касается плагина, я не знаю Java, но у меня есть подозрение, что код может не знать URL по которому он был получен. Поправьте, если не прав, плз.
Что же касается плагина, я не знаю Java, но у меня есть подозрение, что код может не знать URL по которому он был получен. Поправьте, если не прав, плз.
Можно установить максимальный уровень безопасности, тогда неподписанные аплеты не будут запускаться.
Пора бы уже сделать whitelist доменовNoScript
Прочитав первую часть поста собрался было броситься спасать медвежонка томкат. А это оказывается проблема плагина. Не знаю у кого как, но у меня этот плагин под ФФ отказался работать еще несколько обновлений назад, а чинить я его и не пробовал — необходимости до сих пор не возникло…
А поясните плз это только про Oracle Java или OpenJDK тоже?
Уже и в Nuclear Pack.
как же страшно жить…
Метасплойт выпустили соответстующий модуль:
dev.metasploit.com/redmine/projects/framework/repository/revisions/876d889d820bc30d49ad6aa9f62902316af660c1/entry/external/source/exploits/j7u10_jmx/Exploit.java
Здесь немного интересного чтения по сабжу:
malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html?m=1
dev.metasploit.com/redmine/projects/framework/repository/revisions/876d889d820bc30d49ad6aa9f62902316af660c1/entry/external/source/exploits/j7u10_jmx/Exploit.java
Здесь немного интересного чтения по сабжу:
malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html?m=1
Все таки решение выпилить Java Browser Plugin из MacOS было правильным, похоже это решето никогда не залатают.
Забавно. Не любое приложение на Java будет работать кроссплатформенно, зато вот уязвимости отлично кроссплатформятся. Ай да java :)
НЛО прилетело и опубликовало эту надпись здесь
Следует напомнить, что после последнего апдейта Java for OS X (не оракловской) во всех OS X-браузерах Java-плагин отсутствует напрочь (опять же, если Вы не ставили оракловскую Java), так что спим спокойно :)
Так даже в IE java-плагин отсутствует из коробки, его тоже нужно ставить по необходимости. Но прикол в том, что эти плагины очень любит банковский софт, так что кому приходится с ним работать — ставят плагины. Так что тут можно сказать автоматически создается очень приятная для мошенников целевая аудитория.
daringfireball.net/linked/2013/01/11/apple-java оказывается, и оракловский ява-плагин заблочен Apple.
Буквально позавчера и чисто случайно увидел что у меня NetBeans употребляет Java 6. Поставил 7 с офф сайта oracle. Думал ещё: а чем старше версия, тем больше дыр залатали. Сегодня увидел новость. Отрубил в Safari > Security > Enable Java. Так как в “Xprotect.plist” не увидел java 7. Непонятно
НЛО прилетело и опубликовало эту надпись здесь
Вышел 7u11. Профиксили ли они ту дыру?
Нет, не пофиксили
Oracle утверждает, что уязвисмость CVE-2013-0422 пофиксенна — www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html Неужели весь фикс состоит в том, что они повысили уровень безопасности по умолчанию на максимум и теперь все аплеты будут запрашивать подтверждение пользователей на запуск? Но при этом разрешенные аплеты все ровно будут иметь возможность проникать в систему пользователя. Хотелось бы поподробнее узнать об этом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новая уязвимость нулевого дня в браузерных плагинах Java