Реклама
.
Рекламки



Авторизация






Последние комментарии
#1
2023 пишет: » Запостите:

s3r [точка] ru/stavka-tolko-na-linuks-et... (18.03.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#2
бронедрочец пишет: » В костылинуксе порядок таков: нужен нормальный кал... (02.03.2023)
// Обзор калькуляторов в GNU/Linux
#3
Линупсодав пишет: » Костылинупс на десктопе не взлетит без прикладнухи... (13.02.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#4
admin пишет: » БоЗяН, ожидаемо. (30.01.2023)
// ReactOS 0.4.1
#5
БоЗяН пишет: » Хех. Чёт делать было нечего - дело было вечером)))... (29.01.2023)
// ReactOS 0.4.1
Цитаты
любая Linux система как кубик-Рубик - сначала интересно, потом поигрался и бросил.



В целях повышения безопасности рекомендуется полностью удалить Java из системы | автор: Luca | 28 августа 2012

Категория: Open Source


Новый эксплоит для Java поражает все с установленной Java 7. Компания обнаружившая эксплоит в целях предотвращения взлома систем рекомендует полностью удалить Java из системы.

Компания Oracle уже успела отреагировать на пришествие и выпустила подробное руководство по удалению Java из системы.












      ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 28 августа 2012-го года !



Голосов: 10


Прочитано 25671 раз и оставлено 43 комментариев.





Комментарии посетителей

#1. dex

С таким подходом можно и -
Новый эксплоит для Windows/Unix/Linux/OSX/OtherOS поражает OS. Компания обнаружившая эксплоит в целях предотвращения взлома систем рекомендует полностью удалить систему и выбросить свой комп.

#2. Luca

dex, почему такого не происходит с .NET? Рыночная доля мала или все же есть другие причины?

#3. Babusha

У дотнета рыночная доля мала? Лол, дотнет установлен на 60% всех десктопных компьютеров.

#4. blow05

Статистика на начало года - http://habrahabr.ru/post/138212/.

Не думаю, что на данный момент что-то сильно изменилось. Java7 еще очень сырая, чтобы на нее переходить. Данная новость это только подтверждает

#5. blow05

Да, кстати. Ссылка на эксплоит битая

#6. blow05

И еще.
Luca написал:
Компания Oracle уже успела отреагировать на пришествие и выпустила подробное руководство по удалению Java из системы.

Этой страничке уже много лет вообще-то. Luca, ты меня поражаешь своей некомпетентностью.

#7. gaal

Luca написал:
dex, почему такого не происходит с .NET? Рыночная доля мала или все же есть другие причины?


В смысле не происходит? O_o http://www.securitylab.ru/news/413274.php В публичном доступе появился эксплоит к DoS-уязвимости в ASP.NET

Периодически выкладывают в открытый доступ

http://www.exploit-db.com/exploits/16940/
http://www.flenov.info/blog.php?catid=330
http://udooz.net/blog/2009/04/net-sploit-exploit-net-framework/

#8. blow05

gaal написал:
В смысле не происходит? O_o http://www.securitylab.ru/news/413274.php В публичном доступе появился эксплоит к DoS-уязвимости в ASP.NET

Периодически выкладывают в открытый доступ

http://www.exploit-db.com/exploits/16940/
http://www.flenov.info/blog.php?catid=330
http://udooz.net/blog/2009/04/net-sploit-exploit-net-framework/


На СЛОРе не было - значит п№здежь ;D

#9. Rector

Rector
Мы все умрём?

#10. DonDublon3

http://www.securitylab.ru/blog/personal/komarov/23970.php
"Примечательно, что выпуск очередного обновления Java c устранением уязвимостей запланирован компанией Oracle на 16 октября"
дохтур
Rector написал:
Мы все умрём?
Неизбежно, просто кто-то сделает это от старости, а кто-то - преждевременно, по собственной глупости

#12. beep

мне этот эксплоит до лампочки
а вот это, по сравнению с этим отдыхает http://habrahabr.ru/post/150293/#habracut

#13. Rector

Rector
beep написал:
мне этот эксплоит до лампочки
а вот это, по сравнению с этим отдыхает http://habrahabr.ru/post/150293/#habracut

Первый шаг к кибероболочкам.

#14. SmileSRG

Luca, нах№ра писать отсебятину? где ссылка на рекомендацию к удалению Java?

#15. Luca

SmileSRG, прямо по ссылке на первоисточник.

gaal написал:
В смысле не происходит?

По твоей же ссылке "Какой же это нафиг эксплоит, который требует административных прав? Тогда и format C: это тоже супер гениальный эксплоит для файловой системы!".

blow05 написал:
Статистика на начало года - http://habrahabr.ru/post/138212/.

Не думаю, что на данный момент что-то сильно изменилось. Java7 еще очень сырая, чтобы на нее переходить. Данная новость это только подтверждает

Java вообще очень сырая и бажная, а тот факт, что требуются годы, чтобы релиз довести до пригодного к тому чтобы на него _только начали_ переходить разработчики заставляет, задуматься о нужности Oracle и Java в целом.

#16. blow05

Luca написал:
Java вообще очень сырая и бажная

Пруфы про сырость и бажность 6-й ветки будут?

Luca написал:
требуются годы, чтобы релиз довести до пригодного к тому чтобы на него _только начали_ переходить разработчики

Сколько длился переход с 5-й на 6-ю ветку? А с 4-й на 5-ю?

7-я ветка - это очень серъезное обновление, много вкусностей там понадобавляли. Но оффициальных рекомендаций переходить на нее не было. И для 6-й ветки апдейты постоянно выходят. Мне вообще кажется, что на 7-ю ветку никто так и не перейдет - уже 8-я на подходе

#17. Luca

blow05 написал:
Пруфы про сырость и бажность 6-й ветки будут?

Не будут, мне лень разбираться что да как там было.

blow05 написал:
7-я ветка - это очень серъезное обновление, много вкусностей там понадобавляли.

Масштаб нововведение обсуждался уже... . Не впечатляет...

blow05 написал:
Но оффициальных рекомендаций переходить на нее не было.

Замечательный подход! А зачем было тогда релиз выпускать? Чтобы им никто не пользовался?

#18. MOP3E

blow05 написал:
Сколько длился переход с 5-й на 6-ю ветку? А с 4-й на 5-ю?

7-я ветка - это очень серъезное обновление, много вкусностей там понадобавляли. Но оффициальных рекомендаций переходить на нее не было. И для 6-й ветки апдейты постоянно выходят. Мне вообще кажется, что на 7-ю ветку никто так и не перейдет - уже 8-я на подходе

Бредятина какая-то. Почему никогда не возникает проблем с переходом на каждую следующую версию .Net? Дыры в .Net находят, но их тут же и затыкают без рекомендаций типа "Удалите эту версию .Net с компа нахр№н!".

#19. vold

А какова вероятность, что эту уязвимость используют против моего компа? И почему я вдруг должен разрешить доступ на сомнительную страницу с эксплоитом?

#20. blow05

Luca написал:
Не будут, мне лень разбираться что да как там было.

Ясно. Пиздеть - не мешки ворочать.

Luca написал:
Масштаб нововведение обсуждался уже... . Не впечатляет...

хз, что вы там наобсуждали, но перечень на вики более полный

Цитата:

Новые возможности в Java 7[5]
Поддержка виртуальной машиной динамических языков в рамках Мультиязыковой виртуальной машины
Сжатые 64-битные указатели[6] Доступны в Java 6 с параметром -XX:+UseCompressedOops
Изменения в рамках Project Coin.[7][8] Возможности, включенные в Project Coin:
Строки в switch[9]
Автоматическое управление ресурсами[10]
Выведение типов при создании экземпляра обобщенного (generic) класса[11]
Упрощен вызов метода с переменным числом аргументов[12]
Поддержка подчеркиваний в качестве разделителей цифр для чисел (Возможность разбивать визуально числа на разряды, увеличивает удобочитаемость)
Поддержка коллекций на уровне языка[13]
Средства для параллельного исполнения в рамках JSR 166[14]
Новая библиотека Ввода/вывода для улучшения платформонезависимости и поддержки метаданных и символьных ссылок. Пакеты: java.nio.file и java.nio.file.attribute[15][16]
Поддержка алгоритмов эллиптической криптографии на уровне библиотеки.
XRender для Java 2D, улучшающий управление возможностями современных GPU
Новое графическое API, которое планировали выпустить в Java версии 6u10
Расширение поддержки сетевых протоколов (включая SCTP и Sockets Direct Protocol) на уровне библиотеки
Обновления в XML и Юникоде.

От Лямбда-функции, проекта Jigsaw и некоторых других возможностей проекта Coin в Java 7 было решено отказаться. Они будут реализованы в Java 8, выпуск которого ожидается в конце 2012.


Luca написал:
Замечательный подход! А зачем было тогда релиз выпускать? Чтобы им никто не пользовался?

Релиз выпустили, чтобы показать дальнейшее направление развития языка.
При этом заметь - уязвимость не в том сегменте, где есть смысл использовать Java. Апплеты свою битву давно проиграли флешу, и необходимости пользователю держать браузерный плагин JRE сегодня нет.

MOP3E написал:
Бредятина какая-то. Почему никогда не возникает проблем с переходом на каждую следующую версию .Net? Дыры в .Net находят, но их тут же и затыкают без рекомендаций типа "Удалите эту версию .Net с компа нахр№н!".

Пруф будет, где оракл рекомендовал удалить эту версию? Или для тебя инструкция по удалению - это рекомендация? Тогда сходи сюда, плз.

#21. spoilt

spoilt
Luca написал:
Компания обнаружившая эксплоит в целях предотвращения взлома систем рекомендует полностью удалить Java из системы.

Metaspoilt написал:
For now, our recommendation is to completely disable Java until a fix is available.

Очень надмозгово. Достаточно отключить браузерный плагин и не парится.
Luca написал:
Компания Oracle уже успела отреагировать на пришествие и выпустила подробное руководство по удалению Java из системы.

Еще бы не успела. Еще в 2004 году успела. Посмотри дату создания скриншота из руководства. Лука такой Лука.

#22. MOP3E

blow05 написал:
хз, что вы там наобсуждали, но перечень на вики более полный

Что-то я там никаких "больших изменений" не заметил. В .Net от версии к версии объём нововведений гораздо обширнее.
Ну все,следующая статья на главной будет про кривой Оракл и про уязвимость "CVE-2012-4681" biggrin

#24. blow05

MOP3E написал:
Что-то я там никаких "больших изменений" не заметил.

В твоем случае это нормально

MOP3E написал:
В .Net от версии к версии объём нововведений гораздо обширнее

лол, ты реально сравниваешь апдейты фреймворка и виртуальной машины?
DonDublon3 написал:
http://www.securitylab.ru/blog/personal/komarov/23970.php
"Примечательно, что выпуск очередного обновления Java c устранением уязвимостей запланирован компанией Oracle на 16 октября"
,если так и пойдет дальше то пугливый Win пользователь удалит все от Oracle и не вернется на Java,а пользователь Lin (за отсутствием Net альтернативы) как всегда будут утверждать что вирусов просто нет biggrin

#26. Babusha

blow05 написал:
фреймворка и виртуальной машины

Ты понимаешь о чем говоришь?

#27. Babusha

Babusha написал:
Ты понимаешь о чем говоришь?


Лол, прикольно исправили smile

#28. vold

Не понимаю, зачем отключать JavaPlugin, если включен noscript и на всех сайтах по умолчанию скрипты залочены, а список доверенных сайтов можно пересчитать по пальцам.
vold написал:
Не понимаю, зачем отключать JavaPlugin, если включен noscript и на всех сайтах по умолчанию скрипты залочены, а список доверенных сайтов можно пересчитать по пальцам.
,не у всех же Огнелис стоит с Хромой козой biggrin
blow05 написал:
Пруф будет, где оракл рекомендовал удалить эту версию? Или для тебя инструкция по удалению - это рекомендация?
,
Ну судя по комментариям то оРАКла поставили РАКом и Ыбут до первого снега,а точнее до 16 октября ("выпуск очередного обновления Java c устранением уязвимостей запланирован компанией оРАКл которого поставили РАКом на 16 октября"),а оРАКл по ходу не сопротивляется и молча терпит и если раньше чет выдаст то увидишь пруф(но как всегда пора бы привыкнуть к Lin -раньше не родит намеченного срока и дай то ...чтоб не очередной выкидыш который одну дыру закрывает а другую открывает.biggrin

#31. MOP3E

blow05 написал:
лол, ты реально сравниваешь апдейты фреймворка и виртуальной машины?

Ну, я согласен, что Java хуёвее и слабее в применении, чем .Net Framework. Но разговор идёт о том, что в новой .Net 4.5 гораздо больше изменений, чем в Java 7, но при этом .Net работает как часы и разработчики спокойно на него перейдут как только он станет доступен для массового пользователя.

#32. Luca

blow05 написал:
Релиз выпустили, чтобы показать дальнейшее направление развития языка.

О! Какая-то новая стратегия развития!

blow05 написал:
Апплеты свою битву давно проиграли флешу, и необходимости пользователю держать браузерный плагин JRE сегодня нет.

У пользователя вообще нет нужды Java держать. На ней вообще нет нужного пользователю софта. А тот, что есть просто в пух и прах проигрывает даже самым плохо развитым аналогам из не Java мира.

ну и какой толк в этих нововведениях если их никто не будет использовать в ближайшие годы по куче причин?
MOP3E написал:
Но разговор идёт о том, что в новой .Net 4.5 гораздо больше изменений, чем в Java 7, но при этом .Net работает как часы и разработчики спокойно на него перейдут как только он станет доступен для массового пользователя.
up я так удалил Java 7 с бука для пробы(а потом подумал а как на работе работают,ведь многим Java 7 как и любая Java не знакома,седня проверил и люди уже 3-и года без нее,скорость открытия страниц не изменилась и самое прикольное даже древний портабле бразер работает как часыbiggrin ,и пусть кто теперь скажет что без Java 7 бразеры тупят).Под(д)ельщики по ходу сидят в оРАКом Ыбущего и пишут-"ты реально сравниваешь апдейты фреймворка и виртуальной машины".biggrin
Luca, приведи аналоги Minecraft и FreeMind, которые бы рвали их в пух и прах. Уточнение: во втором случае принимаются только бесплатные приложения.

#35. straus

SemyonKozakov написал:
Luca, приведи аналоги Minecraft и FreeMind, которые бы рвали их в пух и прах.

Лучше примеры банковских онлайн клиентов

#36. vold

#37. blow05

MOP3E написал:
Ну, я согласен, что Java хуёвее и слабее в применении, чем .Net Framework.

Толсто

MOP3E написал:
Но разговор идёт о том, что в новой .Net 4.5 гораздо больше изменений, чем в Java 7

Продолжаешь сравнивать framework и VM? Ты посмотри для начала сколько по твоей ссылке изменений касаются непосредственно языка, тогда и будем продолжать разговор о масштабности изменений.

MOP3E написал:
при этом .Net работает как часы и разработчики спокойно на него перейдут как только он станет доступен для массового пользователя

Тольо у меня эта фраза вызывает когнитивный диссонанс?

Luca написал:
У пользователя вообще нет нужды Java держать. На ней вообще нет нужного пользователю софта. А тот, что есть просто в пух и прах проигрывает даже самым плохо развитым аналогам из не Java мира.

Знаешь, тут я с тобой частично соглашусь. Десктопные приложения - тоже не самое лучшее применение для java. И большинству пользователей она действительно не нужна. Java рулит в WEB (серверная часть, сложные приложения). И туда .Net'у еще тянуться и тянуться. Хотя бы из-за процента винды на серверах.

Luca написал:
Ну и какой толк в этих нововведениях если их никто не будет использовать в ближайшие годы по куче причин?

Ждем Java8, в которой обещают лямбды. Если она за полгода-год не преподнесет никаких неожиданных сюрпризов - на нее начнут переходить, и через пару лет Java6 забудут.

supermambet написал:
я так удалил Java 7 с бука для пробы(а потом подумал а как на работе работают,ведь многим Java 7 как и любая Java не знакома,седня проверил и люди уже 3-и года без нее,скорость открытия страниц не изменилась и самое прикольное даже древний портабле бразер работает как часы ,и пусть кто теперь скажет что без Java 7 бразеры тупят).Под(д)ельщики по ходу сидят в оРАКом Ыбущего и пишут-"ты реально сравниваешь апдейты фреймворка и виртуальной машины".

Кто-нибудь вообще понимает, что это создание пытается донести?
Компания Oracle выпустила экстренные корректирующие обновления Java SE 7 update 7 и Java SE 6 update 35. В Java SE 7 update 7 устранена критическая уязвимость (CVE-2012-4681), для которой уже около недели публично доступен эксплоит и наблюдаются факты совершения атак в сети. Кроме того, в указанном выпуске устранены ещё две похожие по сути новые уязвимости, обнаруженные в процессе создания патча. Всем трём уязвимостям присвоен высший критический уровень опасности.

Дополнительное в состав включено исправление потенциальной проблемы безопасности в подсистеме AWT , которая не может быть эксплуатирована напрямую, но может быть задействована в комплексе с другими уязвимостями. В отличие от CVE-2012-4681, данная проблема затрагивает и Jаva 6, поэтому одновременно выпущено обновление Java SE 6 update 35. Все исправленные проблемы проявляются исключительно при использовании Java в форме браузерного плагина, серверные и дестктоп применения Java исправленные проблемы безопасности не затрагивают.

Источник:http://www.opennet.ru/opennews/art.shtml?num=34707

#39. Luca

SemyonKozakov написал:
приведи аналоги Minecraft и FreeMind

Я не знаю что такое Minecraft. Очень похожа на какую-то древнюю игру, хотя вроде ее недавно сделали. Что касается второго - программ реально завались! Их десятки! Просто буквально на днях на работе какую-то х№рню ставил для того чтобы один раз красиво сгруппировать людей по группам.
blow05 написал:
Кто-нибудь вообще понимает, что это создание пытается донести?
,если ты не осилил прочитать то не надо переходить на личности.Для ОСОБО одаренных и blow05,я удалил Java 7 с бука (бук или бука=Notebook) и разницы не заметил что с Java что без неё(вывод:а нафига она тогда вообще нужна?).
blow05,если буковки не можешь осилить то твои проблемы,но х...ню писать матерому линупсоиду не пристало.

#41. blow05

supermambet написал:
,если ты не осилил прочитать то не надо переходить на личности.Для ОСОБО одаренных и blow05,я удалил Java 7 с бука (бук или бука=Notebook) и разницы не заметил что с Java что без неё(вывод:а нафига она тогда вообще нужна?).
blow05,если буковки не можешь осилить то твои проблемы,но х...ню писать матерому линупсоиду не пристало.

Прочитать 2 твоих предыдущих сообщений я то осилил, а вот распарсить - не смог. Спасибо за расшифровку. Так вот - ты подтверждаешь мои слова. Java большинству юзеров на десктопе не нужна. Ее место - на серверах. Ну и может быть еще на мобильных устройствах.


P.S. а тебе лично советую в наступившем учебном году подтянуть правописание вообще и знаки препинания в частности. Т.к. читать твои опусы порой просто невозможно
blow05 написал:
Прочитать 2 твоих предыдущих сообщений я то осили
,чувак не поверишь мне фиалетово что ты осилил и глубоко наср#ть

#43. blow05

supermambet написал:
,чувак не поверишь мне фиалетово что ты осилил и глубоко наср#ть

Чувак, ты не поверишь, но тут всем наср#ть на то, что тебе наср#ть. А вот запятыми пользоваться научись. Или вы еще до них не дошли?