Skip to end of metadata
Go to start of metadata

A jelenleg javított sebezhetőséget felfedező és Oracle számára jelző Adam Gowdiak (Security Explorations) a Computerworld/IDG megkeresésére megemlítette, hogy a most kiadott Java 7 update 7 se ad okot a nyugalomra, mivel átgondolták a helyzetet és találtak egy újabb lehetséges sandbox gyengeséget, amely szintén kihasználható lehet:

"Once we found that our complete Java sandbox bypass codes stopped working after the update was applied, we looked again at POC codes and started to think about the possible ways of how to fully break the latest Java update again," Gowdiak said. "A new idea came, it was verified and it turned out that this was it."

(forrás: http://www.arnnet.com.au/article/435241/researchers_find_critical_vulnerability_java_7_patch_hours_after_release/)

A Gowdiak azt javasolja, hogy próbáljunk meg visszatérni a Java 6 kiadásra, amely biztonsági szempontból mégis csak jobb lehet, illetve távolítsuk el a Java futtató környezetet (JRE/JDK), ha arra nincs kifejezetten szükségünk:

Based on the experience of Security Explorations researchers with hunting for Java vulnerabilities so far, Java 6 has better security than Java 7. "Java 7 was surprisingly much easier for us to break," Gowdiak said. "For Java 6, we didn't manage to achieve a full sandbox compromise, except for the issue discovered in Apple Quicktime for Java software."

Gowdiak has echoed what many security researchers have said before: If you don't need Java, uninstall it from your system.

(forrás: http://www.arnnet.com.au/article/435241/researchers_find_critical_vulnerability_java_7_patch_hours_after_release/)

Mivel a hibák elsősorban a sandbox mechanizmust érintik, megfelelő védelem lehet a Java plugin alapértelmezett kikapcsolása, amelyet csak a szükséges esetekben kapcsolunk vissza.

      
      
Page viewed times

5 Comments

  1. Anonymous

    Itt az ideje írnom winre egy olyan winshell hook-ot, ami systray -ből vezérelhetően rákérdez minden .exe .com indításra, és egy idő múlva azt lehet mondani, betanulta a gépet, nincs kérdés, csak riasztás. dll- ek kapcsan hasonlo lenne, ott filelista fullpath-szal... Ha lehetne hookolni win32 kernelre java progit java-ban írnám az egészet. Szerintetek? (big grin) 

     

    1. Auth Gábor AUTHOR

      Szerintem ezt csinálják az AV szoftverek... (smile)

      1. Anonymous

        ott nincs lista, ott megnézik, hogy vírusos-e. (smile) esetleg a tűzfal még portokra is allergiás. Nembaj, ez lesz az első java AV / FW software! (big grin)

        1. Auth Gábor AUTHOR

          Annál már okosabbak... van mindenféle heurisztika már régóta. De nem állok semminek az útjába: hajrá... (smile)

    2. JNI-t nem fogod meguszni, eleg kemenyen kell majd dolgozni benne.