The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Очередная 0-day уязвимость в Java"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Очередная 0-day уязвимость в Java"  +/
Сообщение от opennews (ok) on 01-Мрт-13, 23:01 
Спустя чуть больше недели с момента выхода (http://www.opennet.dev/opennews/art.shtml?num=36165) корректирующих обновлений Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей, в Сети зафиксирована (http://blog.fireeye.com/research/2013/02/yaj0-yet-another-ja...) вредоносная активность, поражающая системы пользователей через ранее неизвестную  0-day уязвимость (CVE-2013-1493) в браузерном Java-плагине. Уязвимость используется для распространения вредоносного ПО McRAT, поражающего Windows-системы при открытии специально модифицированных страниц на подконтрольных злоумышленникам сайтах.


Уязвимость позволяет осуществить запись и чтение произвольных областей памяти JVM. В процессе эксплуатации осуществляется поиск области памяти, в которой хранятся внутренние структуры данных JVM, после чего осуществляется обнуление участков данных областей с целью дезактивации менеджера безопасности. После успешной эксплуатации, под видом изображения осуществляется загрузка исполняемого файла McRAT и попытка его запуска.

Кроме того, имеется информация о включении нового  0-day эксплоита в типовые комплекты для совершения атак. Интересно, что распространяемый с использованием 0-day эксплоита троян  Trojan.Naid, подписан (http://www.symantec.com/connect/blogs/latest-java-zero-day-s...) с использованием корректного сертификата, полученного в результате атаки (https://blog.bit9.com/2013/02/25/bit9-security-incident-update/) на инфраструктуру  Bit9. До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.

URL: http://www.symantec.com/connect/blogs/latest-java-zero-day-s...
Новость: http://www.opennet.dev/opennews/art.shtml?num=36270

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Очередная 0-day уязвимость в Java"  +7 +/
Сообщение от Омский линуксоид email(ok) on 01-Мрт-13, 23:01 
Ну не везёт просто и всё. А ведь всего-то что надо? Просто поменять лицензию на GNU GPL 3. И отпустит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:06 
> Ну не везёт просто и всё. А ведь всего-то что надо? Просто поменять лицензию на GNU GPL 3. И отпустит.

А чем вам лицензия GPLv2, под которой сейчас распространяется код Java, не нравится ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Очередная 0-day уязвимость в Java"  –1 +/
Сообщение от Аноним (??) on 02-Мрт-13, 01:19 
> А чем вам лицензия GPLv2, под которой сейчас распространяется код Java, не нравится ?

Там скорее проблема в том что ява нужна только огромным ынтырпрайзникам, а сообществу такое малоинтересно. Тем более что оракл своей политикой его поразогнал. Ну а сами они соответствовать современным запросам к оперативности реагирования оказались тупо не в состоянии.

P.S. между прочим, через прошлые 0day взломали компьютеры как минимум в эппле, фэйсбуке и майкрософте, не говоря уж о толпе менее значимых птиц :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

41. "Очередная 0-day уязвимость в Java"  –3 +/
Сообщение от AnonuS on 02-Мрт-13, 04:53 
> P.S. между прочим, через прошлые 0day взломали компьютеры как минимум в эппле, фэйсбуке и майкрософте, не говоря уж о толпе менее значимых птиц :)

Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты просто поболтать ерундой вышел.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

53. "Очередная 0-day уязвимость в Java"  +3 +/
Сообщение от Аноним (??) on 02-Мрт-13, 09:11 
> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты
> просто поболтать ерундой вышел.

Facebook was first to report a successful intrusion on its networks, then it was Apple's turn, followed by software giant Microsoft. A popular iPhone development Web site suffered a malware injection attack which led to visitors of the site with vulnerable Java software installed being infected.

http://www.zdnet.com/oracle-investigating-after-two-more-jav.../

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

84. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от AnonuS on 02-Мрт-13, 22:01 
>> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты
>> просто поболтать ерундой вышел.
> Facebook was first to report a successful intrusion on its networks, then
> it was Apple's turn, followed by software giant Microsoft. A popular
> iPhone development Web site suffered a malware injection attack which led
> to visitors of the site with vulnerable Java software installed being
> infected.
> http://www.zdnet.com/oracle-investigating-after-two-more-jav.../

Спасибо, брат Аноним.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

54. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Vaso Petrovich on 02-Мрт-13, 09:41 
> Слухай, брат Аноним, ты или ссылкой делись или будем считать что ты просто поболтать ерундой вышел.

Вах, вах, вах кто это у нас тут из дикого леса приперся? Это новость о взломе аппл, фэйсбуке и майкрософте, последнии кстати открыто заявили, что их маки тоже пострадали, есть на кучи сайтов, не заметить ее может только тот кто не умеет или не хочет читать. Уверяю вас в том что не надо быть семипядей в лбу чтобы догадаться, что может быть и на винде, и на osx уязвимым, при том, что везде, не только на сайта безопасности, чуть ли не каждую неделю появляются новости об очередной удаленной уязвимости жабы, и так сказать контрольный в голову, а кто любит жабу, как не иынтерпрайз? Так что в следущий раз выйдя из лесу, потрудитесь сами не болтать ерунду, здесь все же юмористический сайт.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

85. "Очередная 0-day уязвимость в Java"  +/
Сообщение от AnonuS on 02-Мрт-13, 22:03 
Уууууууууууу, скока букав и экспрессии, удивительно на что способен человек как таковой и Vaso в частности !!!

Достаточно было одной-двух ссылок, а рассказы про "лес" можно было и вовсе опустить. Так что - "низачот".


Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

64. "Очередная 0-day уязвимость в Java"  +2 +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:16 
> Слухай, брат Аноним, ты или ссылкой делись

Ать! http://thenextweb.com/apple/2013/02/19/apple-attacked-by-hac.../

Ать! http://thenextweb.com/facebook/2013/02/15/facebook-java-expl.../

Ать! http://thenextweb.com/microsoft/2013/02/23/microsoft-suffers.../

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

83. "Очередная 0-day уязвимость в Java"  +/
Сообщение от AnonuS on 02-Мрт-13, 22:00 
>> Слухай, брат Аноним, ты или ссылкой делись
> Ать! http://thenextweb.com/apple/2013/02/19/apple-attacked-by-hac.../
> Ать! http://thenextweb.com/facebook/2013/02/15/facebook-java-expl.../
> Ать! http://thenextweb.com/microsoft/2013/02/23/microsoft-suffers.../

Спасибо, брат Аноним.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

3. "Очередная 0-day уязвимость в Java"  –1 +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:07 
> Ну не везёт просто и всё. А ведь всего-то что надо? Просто
> поменять лицензию на GNU GPL 3. И отпустит.

И чем в контексте уязвимостей в Java GPLv3 может помочь, что не может GPLv2 ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Очередная 0-day уязвимость в Java"  +/
Сообщение от кверти (ok) on 01-Мрт-13, 23:14 
покажите мне исходники Java SE 7 Update 15
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Очередная 0-day уязвимость в Java"  –1 +/
Сообщение от freeday on 01-Мрт-13, 23:21 
ну как бы http://hg.openjdk.java.net/jdk7u/jdk7u
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Очередная 0-day уязвимость в Java"  +2 +/
Сообщение от Andrey Mitrofanov on 01-Мрт-13, 23:32 
> ну как бы http://hg.openjdk.java.net/jdk7u/jdk7u 

42 hours ago    katleman    Added tag jdk7u14-b14 for changeset bb97ad0c9e5a default tip

Просветите меня тёмного, у них что, действительно всё _так_ плохо, и 'b14' - это 'Update 15'??

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:41 
> Просветите меня тёмного, у них что, действительно всё _так_ плохо, и 'b14' - это 'Update 15'??

Вы на цифры не смотрите, это разные выпуски и разная схема нумерации. OpenJDK 7u14 в разработке и запланирован на апрель. И он никаким образом не пересекается с Oracle JDK 7u14.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:43 
http://openjdk.java.net/projects/jdk7u/qanda.html

When will this Project receive security fixes from Oracle?

The schedule for Oracle Java SE Critical Patch Updates is publicly available.

Security fixes for this Project's source code will be made available in the JDK 7 Update Project around the same time as they're released in products from Oracle.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 01-Мрт-13, 23:21 
навряд ли. Там тупо очень много кода. Мегакомбайны и вещи в себе порочны
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:31 
> навряд ли. Там тупо очень много кода. Мегакомбайны и вещи в себе
> порочны

Вы наверное сильно удивитесь, но Oracle JDK 7 изначально собирается из открытого OpenJDK.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

32. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 01:21 
> Вы наверное сильно удивитесь, но Oracle JDK 7 изначально собирается из открытого OpenJDK.

Это не отменяет того что там много кода. А учитывая склонность корпораций к наему недорогих быдлокодеров по экономическим причинам - наивно ожидать высокого качества такого кода.

Результат очевиден: много кода при посредственном качестве == дофига багов, включая и баги так или иначе ведущие к уязвимостям.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

93. "Очередная 0-day уязвимость в Java"  +/
Сообщение от A on 03-Мрт-13, 03:01 
А может наоборот везет? С каждой исправленной уязвимостью их остается все меньше. Я сомневаюсь, что Adobe Flash надежнее и безопаснее, но внимания к нему почему-то меньше.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:08 
applet надо бы давно запретить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Слакварявод on 01-Мрт-13, 23:08 
как задолбало эти чортавы клиент-банки обновлять!!! ((((
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:10 
Сочувствую. (пошли к черту).
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:13 
> Сочувствую. (пошли к черту).

(пошли меня к чету!) ))))

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:14 
>> Сочувствую. (пошли к черту).
> (пошли меня к чету!) ))))

Сегодня же пятница! Маленький хелловин )))

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

33. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 01:23 
> (пошли меня к чету!) ))))

А можно и к нечету.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

9. "Очередная 0-day уязвимость в Java"  –1 +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:12 
> как задолбало эти чортавы клиент-банки обновлять!!! ((((

Обновлять легко! Главное чтобы самопальных костылей не было.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Очередная 0-day уязвимость в Java"  +3 +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:09 
Скоро словом JAVA будут пугать детишек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Очередная 0-day уязвимость в Java"  +/
Сообщение от в on 02-Мрт-13, 01:08 
только апплетами)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Чел on 02-Мрт-13, 08:05 
Просто про апплеты мы знаем, их активней ищут, она на виду и слуху, т.к. затрагивают миллионы.

"Есть мнение" (С), что остальная явка не менее дырява.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

52. "Очередная 0-day уязвимость в Java"  +5 +/
Сообщение от iZEN (ok) on 02-Мрт-13, 09:06 
“Есть всего 2 типа языков: те, на которые все жалуются и те, которыми никто не пользуется”, — Бьерн Страуструп.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

66. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:20 
> “Есть всего 2 типа языков: те, на которые все жалуются и те,
> которыми никто не пользуется”, — Бьерн Страуструп.

Но столько ремотно эксплойтабельных дыр через которые натурально факапают пользователей - есть не у всех.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

77. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 02-Мрт-13, 20:06 
ага, что ещё остаётся говорить отцу уродца
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

80. "Очередная 0-day уязвимость в Java"  +2 +/
Сообщение от kurokaze (ok) on 02-Мрт-13, 21:08 
То то ты постоянно на с++ истерически жалуешься, ггг
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

7. "Очередная 0-day уязвимость в Java"  +16 +/
Сообщение от Stax (ok) on 01-Мрт-13, 23:10 
Прямо такое ощущение, что какой-то ненавидящий оракл хакер припас пачку эксплоитов и теперь по одному их выдавливает. Как оракл раскачегарится, зарегистрирует проблему, осознает важность, сделает фикс, протестирует, выпустит, а тут хакер - оп-па - очередной эксплоит из шапки вытаскивает!

Кстати, раньше этот хакер ненавидел adobe за его флеш. Но теперь оракл его раздражает больше.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Очередная 0-day уязвимость в Java"  +6 +/
Сообщение от Аноним (??) on 02-Мрт-13, 01:25 
> Прямо такое ощущение, что какой-то ненавидящий оракл хакер припас пачку эксплоитов

Пусть учатся у гугла и мозиллы как надо действовать чтобы хакеры сплойты сливали оптом производителю, а не на черный рынок. Хотя я конечно понимаю что древней корпорации с заржавелыми менеджерами сложно адаптироваться к современным реалиям.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

50. "Очередная 0-day уязвимость в Java"  +/
Сообщение от iZEN (ok) on 02-Мрт-13, 09:01 
> Кстати, раньше этот хакер ненавидел adobe за его флеш. Но теперь оракл его раздражает больше.

Джеймс Гослинг? Билл Джой? Патрик Ногтон?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Очередная 0-day уязвимость в Java"  +3 +/
Сообщение от Аноним (??) on 01-Мрт-13, 23:16 
> До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.

Ну т.е., как обычно, на полгода-год

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:21 
> Ну т.е., как обычно, на полгода-год

Лучше просто снести его совсем.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от bugmenot (ok) on 01-Мрт-13, 23:29 
Рекомендуется отключить данный плагин вообще навсегда. Если вам нужна десктопная жаба, то плагин не нужен. Если нужен плагин (для банк-клента, например), то для этого стоит выделить отдельную копию браузера, которому запретить ходить на все остальные сайты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Очередная 0-day уязвимость в Java"  +/
Сообщение от coba on 02-Мрт-13, 00:03 
А почему бы в плагине не сделать возможность включить его только для определенных сайтов?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

37. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Crazy Alex (ok) on 02-Мрт-13, 03:24 
ну, в мозилле лечится расширением. Как обычно, собственно.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

47. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от X86 (ok) on 02-Мрт-13, 08:22 
> Рекомендуется отключить данный плагин вообще навсегда. Если вам нужна десктопная жаба,
> то плагин не нужен. Если нужен плагин (для банк-клента, например), то
> для этого стоит выделить отдельную копию браузера, которому запретить ходить на
> все остальные сайты.

Или поменять уже банк.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

51. "Очередная 0-day уязвимость в Java"  +/
Сообщение от iZEN (ok) on 02-Мрт-13, 09:02 
> Рекомендуется отключить данный плагин вообще навсегда.

Троян существует только для Windows.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

75. "Очередная 0-day уязвимость в Java"  +4 +/
Сообщение от Аноним (??) on 02-Мрт-13, 19:26 
Windows существует только для Троян.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

68. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:27 
> которому запретить ходить на все остальные сайты.

А еще можно прыгать в ластах, с бубном, в гамаке. Для ублажения очередного горбатого совкобанка, раузмеется. В смысле, вам не кажется что так извращаться для получения услуги за свои же деньги - не есть нормально? К тому же серьезно настроенному хакеру ничто не помешает подменить DNS например кучей разных методов.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

99. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Crazy Alex (ok) on 04-Мрт-13, 12:12 
а где-то в России/Украине есть банки, у которых корпоративный клиент не на яве?
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

22. "Очередная 0-day уязвимость в Java"  +3 +/
Сообщение от Аноним (??) on 02-Мрт-13, 00:17 
ява снова дырява. izen, выходи выгораживать яву
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Очередная 0-day уязвимость в Java"  +2 +/
Сообщение от Andrey Mitrofanov on 02-Мрт-13, 00:32 
Аноним, 00:17 , 02-Мрт-13, (22)
>izen, выходи

iZEN, 00:19 , 02-Мрт-13 (23)

Во, саммонинг-то прокачан у анонимного чувака! 8-O +++Чувак, зови сюда Линуса -- меркурятников материть?!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

69. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:27 
> меркурятников материть?!

Команду демеркуризаторов во главе с Торвальдсом :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

97. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Linus on 03-Мрт-13, 21:23 
> Аноним, 00:17 , 02-Мрт-13, (22)
>>izen, выходи
> iZEN, 00:19 , 02-Мрт-13 (23)
> Во, саммонинг-то прокачан у анонимного чувака! 8-O +++Чувак, зови сюда Линуса --
> меркурятников материть?!

Работать идите, заводы стоят, мать вашу.
А вы тут очередной dick-sucking contest устроили.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 03:42 
зачем юродивого тревожите
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Очередная 0-day уязвимость в Java"  –10 +/
Сообщение от iZEN (ok) on 02-Мрт-13, 00:19 
JVM написана на C++ — это основная проблема.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Stax (ok) on 02-Мрт-13, 00:25 
Ясно. А на каком языке должен быть был написан плагин для браузера, чтобы там так часто не находились эксплоиты? Разумеется, должна существовать возможность написать плагин для реальных современных браузеров на этом языке.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору
Часть нити удалена модератором

62. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Stax (ok) on 02-Мрт-13, 16:17 
Не надо увиливать - конкретный язык, для которого можно написать плагин для файрфокса и хрома, пожалуйста :) Опционально еще IE.
Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

28. "Очередная 0-day уязвимость в Java"  +2 +/
Сообщение от Led (ok) on 02-Мрт-13, 00:36 
>JVM написана на C++ — это основная проблема.

Верно, надо было на жаве его написать.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

96. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от YetAnotherOnanym (ok) on 03-Мрт-13, 19:25 
> надо было на жаве его написать.

... и назвать jaja (по аналогии с pypy). Для особо упоротых - jajanaturlich.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "Очередная 0-day уязвимость в Java"  +4 +/
Сообщение от Andrey Mitrofanov on 02-Мрт-13, 00:36 
> JVM написана на C++ — это основная проблема.

Да, плохому танцору мешает не танцевальное искусство театра БолЪшой.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Карбофос (ok) on 02-Мрт-13, 03:33 
я тебе раскрою большой секрет. дело не в том, на каком языке написано, а КАК написано. дурачье, правда, всё время думает, что их говнокод автоматически разколупает компилятор до стабильного идеала. в этой абстракции так и живут очень многие убогие жаба- и дотнеткодеры, в надежде на чудо саморазгребения кривейшего кода с множеством костылей.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

48. "Очередная 0-day уязвимость в Java"  +/
Сообщение от iZEN (ok) on 02-Мрт-13, 08:53 
“Си позволяет легко выстрелить себе в ногу; с C++ это сделать сложнее, но, когда вы это делаете, вы отстреливаете себе ногу целиком”, — Бьерн Страуструп.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

57. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Карбофос (ok) on 02-Мрт-13, 13:09 
то есть ты испугался этих слов, и поэтому твой кругозор на столько ограничен? бедненький. да это сифобия у тебя.

ещё раз перечитай, что я написал.
фанатеки чего-либо вообще глухи и слепы к аргументации других. ты - типичный пример из этой серой массы фанатиков. в сектах происходит абсолютно то же самое, к примеру.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

81. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от kurokaze (ok) on 02-Мрт-13, 21:10 
> “Си позволяет легко выстрелить себе в ногу; с C++ это сделать сложнее,
> но, когда вы это делаете, вы отстреливаете себе ногу целиком”, —
> Бьерн Страуструп.

Ага, а прикинь что бы он прожабку сказал

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

95. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Карбофос (ok) on 03-Мрт-13, 03:12 
что-то вроде: стреляешь в ногу, а отлетает голова :)
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

59. "Очередная 0-day уязвимость в Java"  –1 +/
Сообщение от iZEN (ok) on 02-Мрт-13, 14:17 
Интересное наблюдение: http://habrahabr.ru/post/171325/
///---
EPOC и Symbian как платформа писалась сразу на C++, но во времена когда единого стандарта на С++ еще не было. Поэтому Симбиан известен своими мягко говоря «странными» особенностями программирования на C++, которые весьма нецензурно почитались разработчиками софта. Разработка целиком всей платформы, включая ядро, сразу на C++ привела еще к одной особенности. Ничего из уже существующего open source на ней было применить нельзя без портирования на C++, что и без того затрудняло и без того нелегкую разработку.

Особенности С++, невозможность использовать open source пакетов на чистом C, и прочая самобытность операционки дополнялись полностью идиотской моделью SDK и девелоперской документации. Куча разрозненных пакетов API и слабоконсистентный вид их использования привели к интересной ситуации. Чтобы поставить себе среду разработки и написать “Hello World!” приложение, у среднего девелопера со знанием обычного C++ уходило до недели.
---///
То же самое и с JVM, не касаясь всего JDK.

Почему OpenJDK7 "ONLY_FOR_ARCHS= amd64 i386"? А где SPARC64, MIPS, PowerPC, ARM?!! Ведь всё что написано на C++ легко портируется! Ага, щаз. Ж)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

78. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 20:53 
http://packages.debian.org/sid/openjdk-7-jdk

А дебианщики-то и не знают...

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

70. "Очередная 0-day уязвимость в Java"  +2 +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:29 
> JVM написана на C++ — это основная проблема.

А я думал что проблема явы - в том что это немеряный переросток с кучей кода, делаемый слоупочным корпорасом в основном. Поскольку кода много - это и так хорошая заявка на победу. А поскольку писали наполовину корпоративные кодеры "как подешевле" - вдвойне.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

86. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от pachanga on 02-Мрт-13, 22:14 
> JVM написана на C++ — это основная проблема.

Годный троллинг, годный

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 00:31 
6 Update 42 будет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Andrey Mitrofanov on 02-Мрт-13, 00:35 
> 6 Update 42 будет?

""В связи c прекращением времени жизни ветки Java SE 6, для которой больше не будут выпускаться публичные обновления, компания Oracle реализовала в Java SE 7 функцию удаления компонентов Java SE 6 при установке новой версии.""

Примадонна уходит. Ты надеешься, что "опять"?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

72. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:38 
>удаления компонентов Java SE 6 при установке новой версии

Еще бы она винду-ворду сносила заодно...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Очередная 0-day уязвимость в Java"  +3 +/
Сообщение от Аноним (??) on 02-Мрт-13, 01:26 
> 6 Update 42 будет?

"Финальная версия явы, и всего-всего"? :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

87. "Очередная 0-day уязвимость в Java"  +/
Сообщение от tonys email(??) on 02-Мрт-13, 22:27 
>6 Update 42 будет?

Будет Java 8.
Судя по количеству уязвимостей программисты в панике и истерично затыкая дыру тут же  открывают пару других.
Поэтому проще будет переписать с нуля.
Вот только кто будет этим героем?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от клитр on 02-Мрт-13, 02:25 
Это какая-то фантомасгория. Даещь по 0-дэй уизвимости в Джаве каждую неделю. Сколько можно уже ЭТО использовать, если оно настолько дырявое. фу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Карбофос (ok) on 02-Мрт-13, 03:39 
судя по всему, этих уязвимостей там нашли много. просто порциями выдают.
лет 5-6 назад был продемонстрирован подход комбинированного крэша, когда не просто тупо в одну функцию/метод суют некорректные данные, а комбинируют последовательность некорректных вызовов. была сенсация. о которой просто попытались быстро забыть. но далеко не все об этом методе позабыли, судя по всему.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Очередная 0-day уязвимость в Java"  +/
Сообщение от AnonuS on 02-Мрт-13, 05:07 
> судя по всему, этих уязвимостей там нашли много. просто порциями выдают.
> лет 5-6 назад был продемонстрирован подход комбинированного крэша, когда не просто тупо
> в одну функцию/метод суют некорректные данные, а комбинируют последовательность некорректных
> вызовов. была сенсация. о которой просто попытались быстро забыть. но далеко
> не все об этом методе позабыли, судя по всему.

"Хорошо бы пива!"(С) В смысле не побалует ли брат Карбофосец статейкой или хотя бы ссылочкой на инфу, хочется подрасти над собой в плане расширения кругозора.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

58. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Карбофос (ok) on 02-Мрт-13, 13:51 
подход похож на разновидность фаззинга. обычным фаззингом, к примеру, в адобовском флеш-проигрывателе, 1.5 года нзад было обнаружено 400 уязвимостей.
а ссылку постараюсь найти. может даже на опеннете была новость
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

82. "Очередная 0-day уязвимость в Java"  +/
Сообщение от AnonuS on 02-Мрт-13, 21:59 
> подход похож на разновидность фаззинга. обычным фаззингом, к примеру, в адобовском флеш-проигрывателе,
> 1.5 года нзад было обнаружено 400 уязвимостей.
> а ссылку постараюсь найти. может даже на опеннете была новость

Спасибо за инфу, Карбофос, если и ссылочкой побалуешь, то цены тебе просто не будет.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

91. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Michael Shigorin email(ok) on 03-Мрт-13, 01:43 
>> обычным фаззингом, к примеру, в адобовском флеш-проигрывателе,
>> 1.5 года нзад было обнаружено 400 уязвимостей.
> Спасибо за инфу, Карбофос, если и ссылочкой побалуешь, то цены тебе просто
> не будет.

Да что ж тут баловать, вот первый результат в гугле на первый же запрос adobe flash player fuzzing: http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-...

Корми их тут, пои...

:)

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

92. "Очередная 0-day уязвимость в Java"  +/
Сообщение от AnonuS on 03-Мрт-13, 02:03 
> Да что ж тут баловать, вот первый результат в гугле на первый
> же запрос adobe flash player fuzzing: http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-...

Спасибо, Мишаня! Интересная ссылочка.

> Корми их тут, пои...
> :)

Надо же братьев меньших-анонимных по зиме подкармливать. Да не отсохнет рука кормящая...

:-)))

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

94. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Карбофос (ok) on 03-Мрт-13, 03:05 
это один из простых фаззингов использовался. та новость на пару лет раньше светилась, чем про 400 дыр в флеше. о чем я начинал разговор - более хитрый, комбинированный подход. пытаюсь найти, примерно в 2007-2008 году новость была. постараюсь завтра ещё поискать.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

55. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 11:06 
заголовок поправьте, а то создается впечатление, что уязвимости в очередь выстраиваются, по расписанию
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от XoRe (ok) on 02-Мрт-13, 11:31 
> заголовок поправьте, а то создается впечатление, что уязвимости в очередь выстраиваются,
> по расписанию

А что не так?

curl opennet.ru | grep Java && echo "Чорт, опять уязвимость!" && apt-get update && apt-get install jre jdk

Так и живем :)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

71. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 17:30 
> apt-get install jre jdk
> Так и живем :)

...инсталлируя яву каждый раз когда в ней находят дыру? Это такой тонкий мазохизм? :)

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

79. "Очередная 0-day уязвимость в Java"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 20:55 
>> apt-get install jre jdk
>> Так и живем :)
> ...инсталлируя яву каждый раз когда в ней находят дыру? Это такой тонкий
> мазохизм? :)

Так-то install обновляет пакет, если он уже установлен...

А, вы вот о чём! Тогда purge вместо install.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

73. "Очередная 0-day уязвимость в Java"  +1 +/
Сообщение от Michael Shigorin email(ok) on 02-Мрт-13, 18:36 
> curl opennet.ru [...] && apt-get
> Так и живем :)

curl от рута?  Страшно так жить, наверное...

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

74. "Очередная 0-day уязвимость в Java"  –2 +/
Сообщение от Аноним (??) on 02-Мрт-13, 18:57 
заказ M$ на подрыв репутации JVM?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "В Java обнаружена 0-day уязвимость"  +/
Сообщение от Аноним (??) on 02-Мрт-13, 22:50 
Как-то сомнительно,что кто-то один,или несколько сидят и перелопачивают тонны
кода из реализаций JVM и всех java фреймворков,удачно выискивая уязвимости.
Похоже эти уязвимости были кому-то давно известны,возможно этими кем-то
были созданы,и которые бережно хранились для возможного использования в будущем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

98. "В Java обнаружена 0-day уязвимость"  +/
Сообщение от XoRe (ok) on 04-Мрт-13, 12:07 
> Как-то сомнительно,что кто-то один,или несколько сидят и перелопачивают тонны
> кода из реализаций JVM и всех java фреймворков,удачно выискивая уязвимости.
> Похоже эти уязвимости были кому-то давно известны,возможно этими кем-то
> были созданы,и которые бережно хранились для возможного использования в будущем.

Тонны кода лопатить незачем.
Можно поиграться с отладчиком.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру