Polska grupa badaczy zabezpieczeń LSD odkryła poważną usterkę oprogramowania Sun Java Virtual Machine. "Dziura" obecna w pakietach SDK i bibliotekach JRE 1.4.1_03, 1.3.1_08, 1.2.2_015 oraz ich wcześniejszych wersjach pozwala na wykorzystanie przez aplet dowolnej klasy z pominięciem zabezpieczeń obowiązujących dla tej kategorii programów. Wystarczy jedynie podczas definiowania klasy wymienić w jej nazwie znaki "." na "/". Otwiera to możliwość wykonania dowolnej operacji przez aplety uruchamiane w oknie przeglądarki, np. zainfekowania komputera wirusem, kradzieży danych użytkownika, a nawet ich zniszczenia.
Okazuje się, że nie istnieje metoda na szybkie zabezpieczenie komputera przed niebezpiecznymi apletami. W celu usunięcia zagrożenia należy pobrać i zainstalować uaktualnioną wersję bibliotek Suna (1.4.2), dostępną w witrynie firmy. Plik instalacyjny Javę (JRE) dla Windows zajmuje 14,6 MB.
Przemysław Kobe
Nasty napisał(a):
Re: Dziura w Javie (info z Chipa)
Przemysław Kobel napisał w newsroomie Chipa Okazuje się, że nie istnieje metoda na szybkie zabezpieczenie komputera przed niebezpiecznymi apletami. W celu usunięcia zagrożenia należy pobrać i zainstalować uaktualnioną wersję bibliotek Suna (1.4.2), dostępną w witrynie firmy.
Co za idiotyzm... Nie istnieje (jeszcze wytłuszczone..) metoda zabezpieczenia, ale istnieje - zainstalować nowszą wersję.
To jest, nie wiem na ile celowe, a na ile z głupoty, sugerowanie czytelnikowi, że sprawa jest niesamowicie niebezpieczna i trudna do rozwiązania. Taki tekst sprawia wrażenie, jak ktoś się nie zna, że ściągnięcie i zainstalowanie nowszej wersji jest czymś kosmicznie trudnym.
Chip coraz bardziej mnie rozczarowuje...
bazyli napisał(a):
taaak, podobnie jak wtedy płacz nad tym, że polscy użytkownicy Opery muszą mieć zbugowaną 7.20 , bo 7.21 pl jeszcze nie ma.
Ryszard napisał(a):
Trochę się pogubiłem. Ściągnąłem ow32plpl721j.exe siedzi tam sobie plik J2RE-1_4_1_01-WINDOWS-I586-I.EXE To co mam ciągnąć nowszy?
andol napisał(a):
Nie. W żadnej wersji Opery nie ma teraz Javy 1.4.2.
Musisz ściągnąć Javę ze strony Suna.
quiris napisał(a):
Sun planuje popełnić takie coś usuwające ww. omawiany problem:
SDK and JRE 1.4.1_04 and later SDK and JRE 1.3.1_09 and later SDK and JRE 1.2.2_016 and later
Originally posted by quiris Sun planuje popełnić takie coś usuwające ww. omawiany problem:
SDK and JRE 1.4.1_04 and later
Sure, tylko że Opera nie działa stabilnie z wersjami later niż _01 z linii 1.4.1... Następna używalna po 1.4.1_01 to dopiero 1.4.2.
Ryszard napisał(a):
Tyle zachodu, żeby w końcu zrobić pict.gif Jak się pozbyć "Java Web Start"?
Panel Sterowania -> Dodaj/Usun programy -> i tam chyba sie dymyslisz co dalej robic
Ryszard napisał(a):
Jakby tam było, to bym nie pytał. A nie ma, jv16 PowerTools ustawiny na "wszystkie" też nie znalazł. Wywaliłem "ręcznie" i sprawdzam rejestr.
wuja napisał(a):
Zauważyłem, że Sun od dłuższego czasu ma dziwny zwyczaj: raz instalka daje osobny wpis dla Javy i osobny dla Java Web Start w "dodaj usuń programy", a innym razem dla Java Web Start nie. Wtedy, z tego co do tej pory zauważyłem, wystarczy ręcznie usunąć katalog jawaws i po kłopocie.
mina86 napisał(a):
Hmm... zawsze pameitam, ze JWS mial swoj wpis w Add/Remove programs ;/ Bezsensu jednak ;\
