Net-Skop. Интернет обзор.


В Java обнаружена серьезная уязвимость

Новость на Newsland: В Java обнаружена серьезная уязвимость

Пользователи операционной системы Windows и среды Java подвержены серьезной уязвимости, эксплуатация которой может на все сто скомпрометировать систему. Сообщения об уязвимости в пятницу появились немедленно из двух независимых источников.
Сообщается, что задача кроется в фреймворке Java Web Start. Данная методика была разработана Sun Microsystems и позволяет в упрощенном режиме развертывать Java-приложения в системе. Исследователи обнаружили, что технология Java WS неверно сверяет параметры, передаваемые ей сквозь командную строку. Воспользовавшись этим, атакующий может посредством HTML-тэги контролировать системные переменные. О факте данного бага сообщил Рубен Сантамарта в блоге на портале ReverseMode.com.
Примерно такое же очерчивание дает и Тевис Орманди, сообщающий на сайте Seclists.org, что простым блокированием соответствующего плагина Java проблему найти решение не удастся, так как уязвимый компонент инсталлируется сам по себе и функционирует отдельно. "Проще говоря, уязвимости подвержены все Windows-пользователи последней версии Java-машины", - пишет Орманди.
"Java.exe и javaw.exe содержат в себе недокументированный тайный командный параметр "-XXaltjvm" и "-J-XXaltjvm" (в случае с javaw.exe). Этот параметр подгружает альтернативную библиотеку jvm.dll или libjvm.so. И все. Если мы даем параметр -XXaltjvm=pevil, то файл Javaw.exe загрузит нашу библиотеку", пишет Орманди.
Так как технология Java WS включена в Java Runtime Enviroment, которая употребляется всеми основными браузерами, то уязвимость затрагивать браузеры Firefox, Google Chrome и Internet Explorer и операционные системы, начиная с Windows 2000 и заканчивая Windows 7. Браузеры под Mac OS X уязвимости не подвержены.
ИТ-специалисты говорят, что уже проинформировали Sun об уязвимости, но в Sun не сочли ее критической настолько, чтобы давать экстренный патч.

19 Mar 2019 23:50:31

Вакансия Инженер-программист (Java Developer) в Минске, работа в Арснова

Вакансия Инженер-программист (Java Developer) в Минске, работа в Арснова Новости TUT.BY Ищем опытного Java-разработчика (уровня Middle Senior) как технического руководителя проектов в области разработки облачных и распределенных ...
19 Mar 2019 00:28:56

Куда пойти на летнюю стажировку — The Village

Куда пойти на летнюю стажировку The Village the-village Оплачиваемые программы для программистов, юристов, финансистов и студентов других специальностей The Village.
18 Mar 2019 13:20:00

Как эмулировать многопоточность в JavaScript

Как эмулировать многопоточность в JavaScript Tproger Статья рассказывает о том, как работает очередь задач движка JavaScript, о циклах событий, обрабатывающих макрозадачи и микрозадачи.
18 Mar 2019 01:01:00

Интересы и особенности российских программистов — небольшое исследование от DataArt

Интересы и особенности российских программистов небольшое исследование от DataArt Tproger Команда DataArt проанализировала данные Skillotron и сравнила результаты программистов из России с результатами разработчиков из других стран.
14 Mar 2019 12:23:30

Первые доклады на PHDays: перехват видеоконференций, новая версия GhostTunnel, атаки на Java Card

Первые доклады на PHDays: перехват видеоконференций, новая версия GhostTunnel, атаки на Java Card ComNews.ru Для нашего программного комитета наступила горячая пора вовсю идет прием заявок на участие в Positive Hack Days. У желающих выступить с ...
04 Mar 2019 11:00:00

SAP выпустила собственный дистрибутив Java | ИТ-индустрия – новости, обзоры, аналитика, продукты и услуги

SAP выпустила собственный дистрибутив Java ИТ-индустрия новости, обзоры, аналитика, продукты и услуги Computerworld Россия Дистрибутив получил название SapMachine. Клиенты и партнеры компании могут свободно запускать на нем свои приложения на основе OpenJDK.

Keywords:



0 0

Net-Skop. Интернет обзор. © Net-Skop team