The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Найден способ обхода ограничений запуска неподписанных аппле..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от opennews (??) on 28-Янв-13, 18:26 
Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, сообщил (http://seclists.org/fulldisclosure/2013/Jan/241), что активированный по умолчанию в Java SE 7 Update 11 повышенный уровень безопасности, позиционируемый Oracle как панацея от незаметной активации вредоносного кода, на деле бесполезен. Напомним, что в Java SE 7 Update 10 была добавлена поддержка  четырёх  уровней безопасности, определяющих особенности запуска  апплетов, приложений Java Web Start или JavaFX,  не содержащих цифровой подписи. В Java SE 7 Update 11 был по умолчанию активирован уровень, требующий обязательного ручного подтверждения перед запуском любого неподписанного апплета. Т.е. при наличии паразитного кода на странице, пользователю теперь должно выводиться предупреждение.

Проведённое Адамом исследование показало, что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя. По мнению Адама наиболее эффективным способом защиты от выполнения подобных скрытых апплетов является использование предоставляемой некоторыми браузерами функции "Click to Play", включающей плагин только после клика на области связанного с ним контента.

URL: http://seclists.org/fulldisclosure/2013/Jan/241
Новость: http://www.opennet.dev/opennews/art.shtml?num=35941

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Найден способ обхода ограничений запуска неподписанных аппле..."  +6 +/
Сообщение от Аноним (??) on 28-Янв-13, 18:26 
Опять любителям кактусовой диеты слабительного подкинули ))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Найден способ обхода ограничений запуска неподписанных аппле..."  +3 +/
Сообщение от Аноним (??) on 28-Янв-13, 19:00 
некоторые браузеры гораздо лучше защищены от явы
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Найден способ обхода ограничений запуска неподписанных аппле..."  +4 +/
Сообщение от Аноним (??) on 28-Янв-13, 20:22 
Особенно те где она не инсталлирована.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от Имя on 28-Янв-13, 19:27 
Пора создавать отдельный раздел для новостей по сабжу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Имя on 28-Янв-13, 19:29 
и да, моё отношение к новости - по новости triple facepalm
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от koblin (ok) on 28-Янв-13, 19:28 
кто "заказал" Яву?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Найден способ обхода ограничений запуска неподписанных аппле..."  +24 +/
Сообщение от A.Stahl on 28-Янв-13, 19:53 
Это несколько разработчиков из Sun смотрят в свой старый код, находят баги и раз в месяц, ухохатываясь, пишут очередной эксплойт.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Аноним (??) on 28-Янв-13, 23:02 
с такими знаниями они прогдяться FBR
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

42. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от Аноним (??) on 29-Янв-13, 09:59 
Кому-кому они "прогдяться"?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "Найден способ обхода ограничений запуска неподписанных аппле..."  +2 +/
Сообщение от другой аноним on 29-Янв-13, 10:36 
а кто это такие? (FBR)
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

46. "Найден способ обхода ограничений запуска неподписанных аппле..."  +3 +/
Сообщение от Капитан (??) on 29-Янв-13, 12:28 
Facebook & Reddit, очевидно же.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

16. "Найден способ обхода ограничений запуска неподписанных аппле..."  –1 +/
Сообщение от Омский линуксоид email on 28-Янв-13, 20:33 
Это такой способ PR. Все понимают, что Java - развивающаяся технология, что баги находтяся и лечатся.
P.S. Кто удаляет мои сообщения? Что такого плохого в них? Можно ссылку на правила, где нарушения?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Имя on 28-Янв-13, 20:47 
Они провоцируют срач.
Обращайтесь к Михаилу, просто модератором припекло за любимую явку (оценочное суждение).
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Найден способ обхода ограничений запуска неподписанных аппле..."  –2 +/
Сообщение от Омский линуксоид email(ok) on 28-Янв-13, 20:50 
Ну тогда можно тупо отключить комменты и не парить мозг. Все довольны, счастье.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

33. "Найден способ обхода ограничений запуска неподписанных аппле..."  –1 +/
Сообщение от linux must _RIP_ on 28-Янв-13, 23:21 
> Ну тогда можно тупо отключить комменты и не парить мозг. Все довольны,
> счастье.

ну как же можно так :-) не погладить свое ЧСВ....

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

50. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Michael Shigorin email(ok) on 30-Янв-13, 12:32 
> Обращайтесь к Михаилу

Если про меня -- не-а, сейчас разгребаюсь после зимней альтовской конференции.  Так что лучше http://www.opennet.dev/contact.shtml

2 всё_тот_же_бывший_ораклоид re #32: опять промахнулись, ругань удаляется в первую голову.  Хотите помочь -- средство сообщения о не соответствующих правилам форума сообщениях знаете.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Найден способ обхода ограничений запуска неподписанных аппле..."  –3 +/
Сообщение от linux must _RIP_ on 28-Янв-13, 23:20 
не ищи логики в действиях Шигорина.
Ее там просто нет - все что обижает нежную душу этого человека удаляется.
И тут уж не важно - по делу или без...

Когда его любимые artsu/амноним - других обзывают дебилами - это остается в истории.
Стоит указать не технические пробелы в Linux - это стирается..
Как-то так..

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Аноним (??) on 28-Янв-13, 20:51 
Буквально сегодня словил вирус. Хорошо, что Comodo изолировала и спросила, что с ним делать... Смотрю в логах, откуда взялся - а вызвавшее его приложение java.....

В общем, для Opera действительно лучший рецепт - включить Enable On Demand Plugin.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Найден способ обхода ограничений запуска неподписанных аппле..."  –8 +/
Сообщение от iZEN (ok) on 28-Янв-13, 21:09 
Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на Java бессмысленным занятием.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от ананим on 28-Янв-13, 21:42 
не, не получается у тебя сохранить лицо при плохой игре.
>уровни безопасности можно обойти и они эффективны только в теории.
>На практике же … быстро удалось найти уязвимость … даже при активации наивысшего уровня защиты

опа получается.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Найден способ обхода ограничений запуска неподписанных аппле..."  +4 +/
Сообщение от taliano (ok) on 28-Янв-13, 21:57 
Скорее джава будет заблочена апдейтами во всех нормальных браузерах, чем защиту доведут до ума.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Найден способ обхода ограничений запуска неподписанных аппле..."  –2 +/
Сообщение от iZEN (ok) on 28-Янв-13, 22:12 
> Скорее джава будет заблочена апдейтами во всех нормальных браузерах, чем защиту доведут до ума.

Приложения Java Web Start и JavaFX — довольно серьёзный сектор корпоративного (B2B) софта. Апплеты — унифицированный способ обеспечения аутентификации и авторизации пользователей в банковских системах обслуживания (B2C). Так что вряд ли заблочат.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Найден способ обхода ограничений запуска неподписанных аппле..."  +2 +/
Сообщение от Аноним (??) on 28-Янв-13, 22:26 
Я для себя эту проблему решил деверсификацией браузеров. Для банков - Chrome (и его ни для чего больше не запускаю), для gmail - firefox (чтобы не висеть авторизованным при поиске на гугле), для всего остального - Opera.

В банке Авангард есть флешка с ключом. В момент, когда надо подписать - запускается java-апплет, но работающий только под виндовс и только для того, чтобы создать на системном диске директорию avn_ib со своей программой. И это вместо вcтроенного механизма Security Devices, который штатно присутствует в Firefox. Ну или хотя бы использовать плагины для любых ОС/браузеров, включая линуксы, как делает Рутокен. Ну и зачем такие поделки нужны?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Найден способ обхода ограничений запуска неподписанных аппле..."  –2 +/
Сообщение от iZEN (ok) on 28-Янв-13, 22:35 
> Я для себя эту проблему решил деверсификацией браузеров. Для банков - Chrome
> (и его ни для чего больше не запускаю)

По-моему, Chrome — это часть гугловского ботнета. Лично я опасаюсь проводить с помощью него хоть какие-то банковские транзакции и операции с крединтными картами.

>, для gmail - firefox (чтобы не висеть авторизованным при поиске на гугле), для всего остального - Opera.

Логично.

> В банке Авангард есть флешка с ключом. В момент, когда надо подписать
> - запускается java-апплет, но работающий только под виндовс и только для
> того, чтобы создать на системном диске директорию avn_ib со своей программой.
> И это вместо вcтроенного механизма Security Devices, который штатно присутствует в
> Firefox. Ну или хотя бы использовать плагины для любых ОС/браузеров, включая
> линуксы, как делает Рутокен. Ну и зачем такие поделки нужны?

Спросите поставщиков услуг, использующих эти решения. Они лучше знают, зачем.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от ананим on 28-Янв-13, 23:39 
> По-моему, Chrome — это часть гугловского ботнета. Лично я опасаюсь проводить с помощью него хоть какие-то банковские транзакции

Судя по сабжу, жаба бот-нет не только оракла, но и кого угодно.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от birioukoff (ok) on 29-Янв-13, 01:03 
> В банке Авангард есть флешка с ключом. В момент, когда надо подписать
> - запускается java-апплет, но работающий только под виндовс и только для
> того, чтобы создать на системном диске директорию avn_ib со своей программой.

У меня тоже есть такая же флешка того же банка. Ответственно заявляю, что постоянное пользовался этим апплетом под Ubuntu и никаких проблем. Единственное - под Ubuntu у меня стоит Java оригинальная от Oracle, а не OpenJDK, которая по умолчанию в Ubuntu. Может у Вас в этом загвоздка? Проверено на практике - OpenJDK по поведению довольно сильно отличается от Oracle Java, особенно при использовании Swing (хотя в данном апплете он не используется).

Только вот у меня загвоздка в том, что на моей рабочей машине под виндовс 7 после обновления джавы до 11 апдейта апплеты перестали запускаться вообще и в хроме, и в файерфоксе, смог подписать банковскую платежку только из-под IE! Это вообще-то не есть гуд, может кто что с этим делать?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от Омский линуксоид email(ok) on 29-Янв-13, 05:56 
Можно. Пишите ваш ойпи.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Гость on 29-Янв-13, 10:39 
:)
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Найден способ обхода ограничений запуска неподписанных аппле..."  –1 +/
Сообщение от birioukoff (ok) on 29-Янв-13, 10:43 
> Можно. Пишите ваш ойпи.

Поясните для тех кто не в теме, обычный пользователь я )

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

48. "Найден способ обхода ограничений запуска неподписанных аппле..."  –2 +/
Сообщение от MrClon on 29-Янв-13, 16:50 
> Можно. Пишите ваш ойпи.

127.0.0.1

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

49. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от Led (ok) on 30-Янв-13, 01:33 
>> Можно. Пишите ваш ойпи.
> 127.0.0.1

Классический одмин вин-локалхоста пожаловал

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

28. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от taliano (ok) on 28-Янв-13, 22:50 
В конторах банк-клиенты только у бухов есть. И то не у всех на джаве.
И сколько народа должно пострадать ради некоторых?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от ананим on 28-Янв-13, 23:36 
> Апплеты — унифицированный способ обеспечения аутентификации и авторизации пользователей в банковских системах обслуживания (B2C).

Боже, храни нас.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

23. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Имя on 28-Янв-13, 22:09 
> Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java
> будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
> Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая
> деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на
> Java бессмысленным занятием.

iZen, ты хоть читал? если производитель срочно не залатает то всей концепции апплетов хана.
Будешь потом только для серверов писать, ну может и не плохо.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Найден способ обхода ограничений запуска неподписанных аппле..."  –1 +/
Сообщение от iZEN (ok) on 28-Янв-13, 22:19 
>> Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java
>> будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
>> Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая
>> деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на
>> Java бессмысленным занятием.
> iZen, ты хоть читал? если производитель срочно не залатает то всей концепции
> апплетов хана.

Хана — концепции неподписанных апплетов и приложений. Так туда им и дорога!
Для подписанных — всё остаётся в силе и работает как надо.

> Будешь потом только для серверов писать, ну может и не плохо.

Хотелось бы писать.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

36. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от ананим on 28-Янв-13, 23:42 
> > Будешь потом только для серверов писать, ну может и не плохо.
>Хотелось бы писать.

Хм, тогда слезь со своей хп (о которой ты писал) и займись делом.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Аноним (??) on 28-Янв-13, 23:00 
Ораклу на всех плевать, он делает вид что работет.
Понаобретал крупных копаний и ничего н делает
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Найден способ обхода ограничений запуска неподписанных аппле..."  +1 +/
Сообщение от Аноним (??) on 28-Янв-13, 23:01 
Оракл, - самые дорогие FAIL за всю индустрию
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от pavlinux (ok) on 29-Янв-13, 01:04 
Про Windows Phone 7 уже забыли?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Найден способ обхода ограничений запуска неподписанных аппле..."  –2 +/
Сообщение от Clight on 29-Янв-13, 08:33 
Интересно, если он поступил на работу в оракл, то помогло бы это делу, или помогло бы дело то, если бы оракл открыл джаву и начал работать с сообществом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Найден способ обхода ограничений запуска неподписанных аппле..."  +/
Сообщение от Аноним (??) on 29-Янв-13, 16:26 
Если бы он работал с сообществом это не нагнетало бы работу разработчикам.
Теперь все должны думать об альтернативах
Тот же андроид использует запускаемую java в прилжениях
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру