EeRa Posted January 21, 2013 Report Share Posted January 21, 2013 Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. Vítejte u dalšího dílu CDR SecUpdate - pro třetí týden 2013. Dnes jsou na programu opět další chyby v Javě, které se nyní stávají noční můrou bezpečnostních expertů a sysadminů. Adam Gowdiak a jeho tým totiž objevil v podobném stylu jako v srpnu další chyby v celosvětově rozšířené platformě od Oraclu. Chyby v softwaru Java - zranitelnosti nultého dne Týká se verzí: Java 7 Update 11 Upozornění: Pokud pracujete v psychiatrické léčebně, očekávajte v následujících dnech časté návštěvy systémových administrátorů. Minulý týden jsme informovali o novoroční chybě v Javě, která umožňovala nejrůznějším útočníkům získat plný vzdálený přístup k systému oběti. Oracle zareagoval kupodivu poměrně rychle a v noci na minulé pondělí vydal aktualizaci 7 update 11. Jinde by to byl konec příběhu, ne však u Javy. Již pár hodin po vydání patche Esteban Guillardoy z Immunity hlásal, že záplata opravuje pouze jednu ze dvou kritických chyb a pro znalého útočníka nebude problém se do Javy dostat v kombinaci s jinou dírou. Pro Oracle nechvalně známá firma Security Explorations, která se dlouhodobě zabývá slabými místy v platformě Java, se podívala na celou věc ještě detailněji a Adam Gowdiak (ano, jako na konci srpna 2012) informoval svět na webu FullDisclosure o dalších dvou chybách, které čekají na zneužití. "Nechat MBeanInstantiator neopravený byla přímo pozvánka na další hack. Stačilo najít další bug a zkombinovat jej s tím aktuálním. Nakonec jsme se však rozhodli na něj nespoléhat a najít dvě úplně nové chyby." řekl Gowdiak. Původní exploit (kód zneužívající zranitelnost) z předminulého týdne byl objeven v exploit kitech (BlackHole, Reddit…) po Novém roce. Údajně se dokonce jednalo o novoroční dárek věrným zákazníkům těchto nelegálních nástrojů pro hromadné počítačové útoky. Java je pro počítačové kriminálníky výhodný podnik, protože běží na všech hlavních platformách a hacker tak nemusí přepisovat kód pro jednotlivé systémy. Současně s tím je velmi rozšířená - Javu používá přes miliardu zařízení celosvětově (v počítačových systémech to budou stovky miliónů). Java svým nedostatkem bezpečnosti mění i průmysl penetračního testování. Nejrychlejší dveře do obvyklého systému býval Internet Explorer a Adobe Reader, dnes je to platforma Oraclu. Doporučené chování Opět pokud chcete mít opravdu jistotu, Javu zakažte v prohlížeči. Můžete Javu také zakázat globálně v systému jedním klikem přes Ovládací panel (Java Control panel - javacpl.exe). Další možnost je zakázat zásuvný modul v prohlížeči, pro oba případy Oracle vydal návod. Například Mozilla Firefox vydala automaticky k Java doplňku varování o výše zmíněných zranitelnostech a doporučuje použití s dávkou opatrnosti. Včera se mi dokonce zdálo, že i přes povolení používat Javu ji implicitně zakáže. Banky reagují a doporučují alespoň aktualizaci na nejnovější verzi (co jim také zbývá, když bankovnictví běží na Javě). Zdroj: http://cdr.cz Autor: Jiří Moos Quote Link to comment Share on other sites More sharing options...
odysey Posted January 21, 2013 Report Share Posted January 21, 2013 nultého dne? fuj .. napiš tam když už 0day ;P Quote Link to comment Share on other sites More sharing options...
funn3r Posted January 21, 2013 Report Share Posted January 21, 2013 Java je zlo Apple ví své xD Quote Link to comment Share on other sites More sharing options...
Ariczek Posted January 21, 2013 Report Share Posted January 21, 2013 Java je zlo Apple ví své xD tohle myslis jak ? na Macu java funguje. A jestli myslis to iOS vs. Android. Tak na Androidu je Dalvik, ne java. Tam se to jen v javě programuje a pak překládá do Dalvik Virtual Machine. Na androidu java nebezi odysey 1 Quote Link to comment Share on other sites More sharing options...
ntdrt Posted January 22, 2013 Report Share Posted January 22, 2013 V mém případě FF automaticky Javu zablokoval... Mimochodem, pokud máte banku, která staví bankovnictví na Jave, tak radím rychle pryč. Očividně je plná lidí, kteří to v hlavě nemají úplně v pořádku a podobným lidem není dobré svěřovat své peníze . Quote Link to comment Share on other sites More sharing options...
Jamira40 Posted January 23, 2013 Report Share Posted January 23, 2013 samozrejme... pretože java je pure evil... Takéto bezpečnostné chyby sú úplne všade bohužiaľ a preto že sa občas nejaká takáto prevaľuje nuž... to neznamená že Java je zlá a preto sa používa a bude používať aj vo finančnom sektore Xmat 1 Quote Link to comment Share on other sites More sharing options...
Ariczek Posted January 23, 2013 Report Share Posted January 23, 2013 ja si prave naopak myslim ze v enterprise business aplikacich je pouziti javy nebo .netu mnohem lepší než třeba PHPko ale bavim se tu o použití javy na straně banky (*.jsf, *.jsp a podobně v url). Tam je ta bezpečnost trošinku jinde (java policy a podobně) - hlavně do toho admini vidí Jamira40: to smrdi flamem tohle ntdrt: ona nějaká banka vyžaduje pro svoje bankovnictví tlustýho klienta ? (rozumněj javovskou aplikaci spuštěnou na straně klienta) Quote Link to comment Share on other sites More sharing options...
Jamira40 Posted January 23, 2013 Report Share Posted January 23, 2013 Ari jasne ja len že istá nemenovaná spoločnosť tiež finančného zamerania má klienta v Java Quote Link to comment Share on other sites More sharing options...
ntdrt Posted January 23, 2013 Report Share Posted January 23, 2013 @Jamira40 Tady se bavíme o Jave na straně klienta. Z pohledu bezpečnosti je to nejhorší řešení na světě. Stejně tak mít bankovnictví ve flashy. Zkrátka to není normální . Navíc to obtěžuje zákazníka. @Ariczek Ano a o tom přesně mluvím . Nevěřil jsem tomu ale v ČR to existuje . Jinak z pohledu bezpečnosti nevidím "plus" u žádného existujícího řešení. PHP, Java nebo .NET. To je fuk, všechno je to stejné. Dost by mě zajímal tvůj názor a důvod proč si to myslíš. Quote Link to comment Share on other sites More sharing options...
Xmat Posted January 23, 2013 Report Share Posted January 23, 2013 Mám blízkého kolegu programátora z Wincor Nixdorf, dle jeho slov nepoužívají pro bankovní sektor jiný nástroj než je Java. A to jsou i klientské front-endy (velkoobchodní systémy, bankomaty, čtečky). Takže nevím ntdrt, ale asi jsi chytřejší než všichni ostatní dohromady. Quote Link to comment Share on other sites More sharing options...
ntdrt Posted January 23, 2013 Report Share Posted January 23, 2013 Mám blízkého kolegu programátora z Wincor Nixdorf, dle jeho slov nepoužívají pro bankovní sektor jiný nástroj než je Java. A to jsou i klientské front-endy (velkoobchodní systémy, bankomaty, čtečky). Takže nevím ntdrt, ale asi jsi chytřejší než všichni ostatní dohromady. Já mluvím o internetovém bankovnictví a webu, ty mluvíš o bankomatu? ... Tam Javu spravuje administrátor, stejně tak jako na serverech - nikdo si nenainstaluje děravou verzi a počká, až se otestuje = je jedno, jaká platforma se použije. Tady jde ale o Java applety na webu, což je úplně jiná kategorie, než dělá tvůj kamarád. Nejsem chytřější než ostatní, jen ty neumíš číst. Quote Link to comment Share on other sites More sharing options...
Xmat Posted January 23, 2013 Report Share Posted January 23, 2013 Já mluvim i o internetovém bankovnictví (zahrnuto v "klientské front-endy"), i o obchodních systémech na business-to-business trzích, ať už se jedná o aplikace na placení nebo na správu cokoliv, co má s penězi co do činění. Například nejznámnější česká platební brána od csas 3DSecure je z části postavená na javě, teď jsem pro ni něco programoval v práci. A těch javovských aplikací (či jsp) bude i v oblastech přímo internetového bankovnictví hodně. A neříkej mi co dělá můj kamarád, pochybuji, že víš co dělá. Dělí mj. klientské aplikace v javě pro bankovní sektor. Quote Link to comment Share on other sites More sharing options...
EeRa Posted January 24, 2013 Author Report Share Posted January 24, 2013 Já té Javě prd rozumím, hlavní je, že je tam díra, tak se nehádejte jak trubky. Jeden to, druhý ono... Zbytečné, nic s tím nenaděláte, takže stfu omfg wtf l2p sos roflmao kiddo jude more? Quote Link to comment Share on other sites More sharing options...
ntdrt Posted January 24, 2013 Report Share Posted January 24, 2013 @Xmat Doufej v to, že nechápeš co je to Java Applet a co znamená pojem internetové bankovnictví, popřípadě webová stránka. V opačném případě by si byl nejspíše nejhloupější člověk na světě a nic by tvojí blbost neomluvilo. Debatovat o tom, co (ne)dělá tvůj kamarád je super ale nikam to nevede a nemá to žádnou spojitost s touto diskuzí. Až budu mít náladu se bavit o blbostech, tak ti dám vědět. Nyní na to ale není správná doba a tak je čas to ukončit. Na konec ti dám hned dvě cenné rady: urychleně změň zaměstnání (třeba na pekaře, to zní zajímavě) a přestaň pomlouvat svoje kamarády (tak se chovají jen svině a to ty přece nejseš). @Eessencia No jó. Tady se člověk nemůže ani pobavit . Quote Link to comment Share on other sites More sharing options...
Xmat Posted January 24, 2013 Report Share Posted January 24, 2013 Ntdrt ty jsi normálně hloupý člověk. A k tomu ještě namyšlený, to je strašná kombinace. :-X Quote Link to comment Share on other sites More sharing options...
ntdrt Posted January 24, 2013 Report Share Posted January 24, 2013 Alespoň netvrdím, že cpát klientům Javu místo HTML je super věc a že toto řešení exceluje v bezpečnosti . Nejsem namyšlený ani hloupý. Jenom neuznávám tvojí autoritu, jelikož si to za podobné tvrzení zkrátka nezasloužíš. Nevíš o co jde a píšeš tady kraviny. Nenapsal si ani jediný argument a vše stavíš na tom, že to tvůj kamarád dělá tak a tak . Quote Link to comment Share on other sites More sharing options...
Jamira40 Posted January 24, 2013 Report Share Posted January 24, 2013 má to obrovskú výpovednú hodnotu Quote Link to comment Share on other sites More sharing options...
Ariczek Posted February 13, 2013 Report Share Posted February 13, 2013 Asi by se hodilo, kdyby autor topicu si všímal, že už je to jen historická nezajímavá záležitost aby to tu lidi nemátlo Takže pro úplnost http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.