Net-Skop. Интернет обзор.


В Java обнаружена серьезная уязвимость

Новость на Newsland: В Java обнаружена серьезная уязвимость

Пользователи операционной системы Windows и среды Java подвержены серьезной уязвимости, эксплуатация которой может на все сто скомпрометировать систему. Сообщения об уязвимости в пятницу появились немедленно из двух независимых источников.
Сообщается, что задача кроется в фреймворке Java Web Start. Данная методика была разработана Sun Microsystems и позволяет в упрощенном режиме развертывать Java-приложения в системе. Исследователи обнаружили, что технология Java WS неверно сверяет параметры, передаваемые ей сквозь командную строку. Воспользовавшись этим, атакующий может посредством HTML-тэги контролировать системные переменные. О факте данного бага сообщил Рубен Сантамарта в блоге на портале ReverseMode.com.
Примерно такое же очерчивание дает и Тевис Орманди, сообщающий на сайте Seclists.org, что простым блокированием соответствующего плагина Java проблему найти решение не удастся, так как уязвимый компонент инсталлируется сам по себе и функционирует отдельно. "Проще говоря, уязвимости подвержены все Windows-пользователи последней версии Java-машины", - пишет Орманди.
"Java.exe и javaw.exe содержат в себе недокументированный тайный командный параметр "-XXaltjvm" и "-J-XXaltjvm" (в случае с javaw.exe). Этот параметр подгружает альтернативную библиотеку jvm.dll или libjvm.so. И все. Если мы даем параметр -XXaltjvm=pevil, то файл Javaw.exe загрузит нашу библиотеку", пишет Орманди.
Так как технология Java WS включена в Java Runtime Enviroment, которая употребляется всеми основными браузерами, то уязвимость затрагивать браузеры Firefox, Google Chrome и Internet Explorer и операционные системы, начиная с Windows 2000 и заканчивая Windows 7. Браузеры под Mac OS X уязвимости не подвержены.
ИТ-специалисты говорят, что уже проинформировали Sun об уязвимости, но в Sun не сочли ее критической настолько, чтобы давать экстренный патч.

25 May 2019 12:23:00

Профессия тестировщик: разбираемся в QA, QC и testing

Профессия тестировщик: разбираемся в QA, QC и testing Tproger Анастасия Шарикова, преподавательница курса Тестировщик в Нетологии и QA Lead в Bookmate, рассказала, чем занимаются тестировщики, как ...
24 May 2019 14:33:07

Митап Java Party

Митап Java Party Tproger Зовут всех, кто занимается Java-разработкой и в особенности бэкендом, а также тем, кто хочет больше узнать о том, как устроены сервисы Яндекса ...
30 Apr 2019 10:00:00

Alibaba предлагает собственный дистрибутив Java для крупномасштабных приложений

Alibaba предлагает собственный дистрибутив Java для крупномасштабных приложений Открытые системы Версия Java от китайской компании работает только на компьютерах с процессорами архитектуры Intel под управлением 64-разрядных версий Linux.
25 Apr 2019 10:00:00

Проект Tsan может избавить многопоточные программы Java от состояний гонки данных

Проект Tsan может избавить многопоточные программы Java от состояний гонки данных Открытые системы Инструментарий призван предупреждать возникновение ситуаций, в которых разные потоки программы обращаются к одной и той же области памяти ...
19 Apr 2019 10:00:00

Программа сертификации от Amazon, новая лицензия Java SE, тёмная тема в Facebook Messenger и другие новости ИТ за неделю — Разработка на

Программа сертификации от Amazon, новая лицензия Java SE, тёмная тема в Facebook Messenger и другие новости ИТ за неделю Разработка на vc.ru Каждую неделю Revolut публикует интересные новости ИТ и разработки.
11 Apr 2019 10:00:00

Банковские и SIM-карты стали беззащитными из-за багов в платформе Java Card

Банковские и SIM-карты стали беззащитными из-за багов в платформе Java Card CNews.ru В программных компонентах Java Card выявлены почти два десятка ошибок, позволяющих, в том числе, полностью захватывать контроль над ними.

Keywords:



0 0

Net-Skop. Интернет обзор. © Net-Skop team