Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Java, Java, Java, Java, Java ...

2013.03.05. 09:42 | buherator | Szólj hozzá!

Az Oracle újabb kritikus Java frissítést adott ki - egy hónapon belül a harmadikat - miután újabb, a Java futtatókörnyezet 6-os és 7-es verzióinak hibáját kihasználó támadásokról érkeztek hírek. Az első jelentések a támadásokról február 1-én érkeztek a gyártóhoz, így  február 19-i javítócsomaggal ezeket már nem tudták foltozni, a következő negyedéves CPU viszont még túl messze van, ezért az Oracle a soron kívüli javítás mellett döntött.

A most kiadott folt két sérülékenységet javít, mindkettőt a 2D csomagban. Az eddigi információk szerint ezúttal nem egy tervezési hibáról, hanem valamiféle memóriakorrupcióról van szó, melynek kihasználásával a támadók igyekeznek deaktiválni a SecurityManagert. Az exploit így kevésbé megbízható, mint a közelmúltban megfigyelt, Reflectionre épülő kódok.

Természetesen a Security Explorations sem ült a babérjain: a lengyel csapat több bejelntés kapcsán harcol az Oracle-el, hogy ismerjék el, valóban biztonsági problémáról van szó, a viták során pedig újabb, a Java 7 Reflection API-ját érintő sérülékenységekre derült fény.

Nem lehet tehát eléggé hangsúlyozni, hogy csak akkor hagyjatok Java-t a munkaállomásaitokon, ha arra feltétlenül szükség van, a biztonsági szintet állítsátok a legmagasabbra, és használjátok a böngészők click-to-play lehetőségét! 

Címkék: java patch oracle

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.