Java - wersje stabilne i wykryte luki

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35550
Reakcje/Polubienia
24586
Miasto
Trololololo
A previously unknown and currently unpatched security hole in the latest version of the Java software framework is under attack online, according to security researchers and bloggers.

Attack code that exploits vulnerability in Java's browser plugin has been added to the Blackhole, Cool, Nuclear Pack, and Redkit exploit kits, according to the Malware Don't Need Coffee blog, prompting its author to say that the bug is being "massively exploited in the wild." Miscreants use these products to turn compromised websites into platforms for silently installing keyloggers and other types of malicious software on the computers of unsuspecting visitors. KrebsOnSecurity reporter Brian Krebs said the curators of both Blackhole and Nuclear Pack have taken to the underweb to boast of the addition to their wares. It's not yet clear how many websites have been outfitted with the exploits.

According to researchers at Alienvault Labs, the exploits work against fully patched installations of Java. Attack files are highly obfuscated and are most likely succeeding by bypassing security checks built in to the program. KrebsOnSecurity said the malware authors say the exploits work against all versions of Java 7.

Update: Analysis from antivirus provider Kaspersky Lab indicates the exploits are already deployed on a variety of websites.

"There appears to be multiple ad networks redirecting to Blackhole sites, amplifying the mass exploitation problem," Kaspersky Lab expert Kurt Baumgartner wrote. "We have seen ads from legitimate sites, especially in the UK, Brazil, and Russia, redirecting to domains hosting the current Blackhole implementation delivering the Java 0day. These sites include weather sites, news sites, and of course, adult sites."

People who don't use Java much should once again consider unplugging Java from their browser, while those who don't use it at all may want to uninstall it altogether. The release notes for Java 7 Update 10—the most recent version—say users can disable the program from the browser by accessing the Java Control Panel. KrebsOnSecurity has instructions here for other ways to do this.

Zaloguj lub Zarejestruj się aby zobaczyć!
 
A

Anonymous

Re: Uwaga na Javę - Kolejna krytyczna luka

Ja już od jakiegoś czasu nie posiadam Javy na kompku :dziwak
 

Kamelka

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
27 Maj 2010
Posty
18252
Reakcje/Polubienia
38557
Miasto
Gdzieś w Polsce
Re: Uwaga na Javę - Kolejna krytyczna luka

"Specjaliści nawołują do wyłączenia Javy..."
Java nie cieszy się dobrą opinią wśród specjalistów od bezpieczeństwa komputerów. Właśnie został odkryty kolejny 0-day, który jest już zresztą wykorzystywany. Zdaniem ekspertów, jedynym ratunkiem jest wyłączenie wtyczek Oracle'a.

Lukę udokumentował US Computer Emergency Readiness Team, który podlega Departamentowi Bezpieczeństwa Krajowego USA, a odkrył ją prawdopodobnie blogger Kafeine. Znajduje się ona w Javie 7 Update 10 i starszych i pozwala atakującemu na zdalne wykonanie złośliwego kodu, jeśli tylko przekona użytkownika do odwiedzenia spreparowanej strony internetowej, co trudne raczej nie jest.

Uznany specjalista, Brian Krebs, potwierdził, że stosowny exploit już znalazł się w zestawie narzędzi do dystrybucji złośliwych programów BlackHole Exploit Kit. Podobno był to prezent noworoczny dla klientów korzystających z tego pakietu, a niedługo potem takie samo ogłoszenie wystosował sprzedawca Nuclear Pack. Firma BitDefender z kolei poinformowała o obecności exploita w konkurencyjnym Cool Exploit Kit.

Lukę przeanalizowali pracownicy AlienVault, którym udało się odtworzyć działanie exploita i uruchomić złośliwym appletem program calc.exe. Z tego wywnioskowali, że exploit obchodzi niektóre zabezpieczenia i uzyskuje dostęp do pewnych klas Javy, podobnie jak inny exploit z sierpnia.

Według firmy Rapid7 również użytkownicy Linuksa i OS X nie mogą czuć się bezpieczni. Firma Oracle została poinformowana o problemie, ale na razie wszyscy polecają po prostu, bez względu na używany system operacyjny i przeglądarkę, wyłączenie wtyczki, jeśli nie jest ona niezbędna. W najgorszej sytuacji są, jak zwykle, środowiska firmowe, gdzie często wykorzystywane są aplikacje napisane w Javie specjalnie na ich potrzeby. Naraziło to Oracle'a na krytykę ze strony Marca Maifretta z BeyondTrust. Uważa on, że firma zwyczajnie musi się bardziej postarać żeby zabezpieczyć Javę i w końcu się pozbierać.

Zaloguj lub Zarejestruj się aby zobaczyć!
 

remool

Bardzo aktywny
Fąfel
Dołączył
12 Maj 2011
Posty
2964
Reakcje/Polubienia
71
A

Anonymous

Re: Uwaga na Javę - Kolejna krytyczna luka

To nie ma żadnego znaczenia : załatana czy nie załatana...Java to : zło,bezpieczniej się jej pozbyć niż łatać...
 

polak900

Bardzo aktywny
Dołączył
7 Czerwiec 2010
Posty
558
Reakcje/Polubienia
0
Re: Uwaga na Javę - Kolejna krytyczna luka

+1 :)
 
A

Anonymous

Re: Uwaga na Javę - Kolejna krytyczna luka

Hornet napisał:
To nie ma żadnego znaczenia : załatana czy nie załatana...Java to : zło,bezpieczniej się jej pozbyć niż łatać...

Dokładnie, jednak dopóki java jest to jednak lepiej jak jest załatana :wariat, chociaż i tak pewnie za jakiś czas dowiemy się, że w tej wersji też jest jakaś groźna luka b ostatnio nie wydają javy bez luk :Stop
 

remool

Bardzo aktywny
Fąfel
Dołączył
12 Maj 2011
Posty
2964
Reakcje/Polubienia
71
Re: Uwaga na Javę - Kolejna krytyczna luka

chociaż i tak pewnie za jakiś czas dowiemy się, że w tej wersji też jest jakaś groźna luka
Myślę że szybko się dowiemy
Adam Gowdiak z Security Explorations, który ma na koncie odkrycie licznych luk w Javie, zauważył, że poprawka pozostawia całą kolekcję innych, nie załatanych jeszcze dziur, z których przestępcy dybiący choćby na numery naszych kart kredytowych mogą skorzystać. Nie odważymy się poinformować użytkowników, że ponowne włączenie wtyczki Java jest bezpieczne — powiedział. HD Moore z Rapid7 szacuje, że załatanie wszystkich odkrytych do tej pory luk w wersjach, których używa się z przeglądarkami, może zająć Oracle'owi nawet dwa lata. Brian Krebs napisał, że pochwala szybkość działania i załatanie dwóch dziur w 3 dni, ale to jeszcze za mało.
 

yuppy

Bardzo aktywny
Zasłużony
Dołączył
20 Październik 2012
Posty
519
Reakcje/Polubienia
5
Re: Uwaga na Javę - Kolejna krytyczna luka

Jak donosi Brian Krebs, w mniej niż dzień po wydaniu najnowszej wersji Javy, na jednym z rosyjskich zamkniętych forów dla komputerowych włamywaczy pojawiła się oferta sprzedaży 2 kopii expoloita 0day. Cena: 5000 USD.

Wiadomo, że jedna kopia została sprzedana przed zamieszczeniem ogłoszenia. Autor exploita gwarantuje, że nie jest on jeszcze używany w żadnych exploitpackach. W pakiecie daje zarówno kod źródłowy, jak i uzbrojoną wersję exploita.


Zaloguj lub Zarejestruj się aby zobaczyć!

Jak dla mnie jedyne sensowne rozwiązanie to nie instalowanie Javy (co też robię :szef )
 

remool

Bardzo aktywny
Fąfel
Dołączył
12 Maj 2011
Posty
2964
Reakcje/Polubienia
71
Re: Uwaga na Javę - Kolejna krytyczna luka

Już się dowiedzieliśmy :dziwak
Wykryto nową usterkę w Java 7u11, mimo że to najnowsza wersja tej wtyczki, niedawno zalatana przez firmę Oracle. Usterka pozwala na dwa rodzaje ataków, które umożliwiają zdalne wykonanie kodu na atakowanym komputerze. Osoby, które wykryły problem, na razie nie podają metod do publicznej wiadomości, by Oracle mógł opublikować kolejną aktualizację.
BTW
Java znowu zawstydziła Ser Szwajcarki, ma więcej dziur.
:p
 
A

Anonymous

Re: Uwaga na Javę - Kolejna krytyczna luka

Wydano już Version 7 Update 13, podobno poprawiono błędy.
Firefox wtyczki nie blokuje, działa.


Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry