Java je děravá i po nedávné opravě

Karel Michal , 04. září 2012 08:41 3 komentářů

Je to jen pár dní po nedávné opravě v JRE a prostředí Javy už je oficiálně zase děravé. Chyba opět umožňuje útočníkovi ovládnout PC.

Nová chyba byla objevena jen několik hodin po té, co vyšel update Java Runtime Environment (JRE 7 Update 7) od Oracle, upozornila na ni polská společnost Security Explorations. Podobně jak v hlavní zranitelnosti předchozího JRE se jedná o chybu, která umožňuje spustit přes nepodepsaný applet binární kód bez povolení od uživatele. Jeden rozdíl tu ale je, oproti předchozí chybě nebyly zatím její detaily zveřejněné a není zatím známo žádné její reálné zneužití v aktuálně zachycených exploitech.

Společnost Oracle opravila starší zranitelnost minulý čtvrtek, tedy relativně pozdě, v době, kdy již chyba byla několik měsíců zneužívána, v daném případě má ještě šanci zareagovat včas. Na starší, dnes již opravenou chybu, upozornila společnost FireEye, která odhalila její zneužívání skrze objevení exploitů, které ji využívají při cílených útocích. Konkurenční společnost, Errata Security, potvrdila, že se jedná o chybu v návrhu JRE, která umožňuje kódu změnit si vlastní bezpečnostní oprávnění pomocí tzv. „Java reflection“.

Chyba byla plně zneužitelná na následujících konfiguracích: Windows 7 SP1, Ubuntu 12.04, Mac OS X 10.8.1, z prohlížečů jsou zranitelné Firefox 14.0.1, IE 9, Safari 6 a Chrome 21. Kvůli chybě může exploit formou appletu zneužít možnosti spustit zvolený kód a získat kontrolu nad PC.


Komentáře

xurfa #1
xurfa 04. září 2012 10:51

„Díky chybě může exploit formou appletu zneužít možnosti spustit zvolený kód a získat kontrolu nad PC.“

Takže Vám se to ještě líbí! I vy haxx0re jeden vykutálený!

(Viz http://pentcestina.ic.cz/index.php?sec=ling&inc=skola&obor=ling&akce=uc&year=5&lect=3#2)

Karel Wolf 04. září 2012 12:11

Ok, opraveno na "Kvůli" :)

Jux #3
Jux 13. září 2012 08:35

Libi, nelibi, v cem lepsim chces programovat? Navic JDK 7 se donedavna jeste nepouzival, nejrozsirenejsi je JDK 6. Ve vsem byvaji chyby i kdyz je mozna pravda, ze co Javu koupil Oracle neni uz to to prave orechove...

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

Piezoelektrický jev u jednotlivých molekul umožní nanogenerátory elektrické energie

Pavel Houser , 18. únor 2018 08:00

Piezoelektrický jev odpovídá za vznik elektrického napětí v závislosti na vnějším mechanickém namáhá...

Více 0 komentářů

Také USA obvinily Rusko, že má na svědomí velký loňský kyberútok

ČTK , 17. únor 2018 08:00

Po Británii i Spojené státy obvinily ruskou vládu, že stojí za vlnou kybernetických útoků, která lon...

Více 2 komentářů

Lékařům nebudou letos hrozit pokuty za předpis papírového receptu

ČTK , 16. únor 2018 10:00

"Chceme mít rok na odladění systému a jeho vylepšení," řekl ministr zdravotnictví Adam Vojtěch....

Více 0 komentářů

Starší zprávičky

Jourová: Facebook a Twitter musejí v ochraně spotřebitelů přidat

ČTK , 16. únor 2018 09:00

Nedostatky prý neodstranil zejména Twitter, naopak změny Google+ se zdají být v souladu s unijními p...

Více 0 komentářů

Senátoři se postavili proti nadměrným sankcím kvůli GDPR

ČTK , 16. únor 2018 08:00

Pokuty musí být vždy přiměřené s tím, že dolní sazba pokuty přitom zcela jistě bude nulová," uvedl m...

Více 0 komentářů

Uber v uplynulém roce prohloubil ztrátu na 4,5 miliardy dolarů

ČTK , 15. únor 2018 11:02

Podnik současně získal více než 14 miliard dolarů z nových investic. ...

Více 0 komentářů

Vláda bude u Ústavního soudu hájit zákony o sběru dat na sítích

ČTK , 15. únor 2018 09:00

Má sběr dat o tom, komu lidé volají a kdy se připojují na internet, výrazný vliv na objasňování krim...

Více 2 komentářů