The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Найден способ обхода ограничений запуска неподписанных апплетов в Java SE 7

28.01.2013 18:20

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, сообщил, что активированный по умолчанию в Java SE 7 Update 11 повышенный уровень безопасности, позиционируемый Oracle как панацея от незаметной активации вредоносного кода, на деле бесполезен. Напомним, что в Java SE 7 Update 10 была добавлена поддержка четырёх уровней безопасности, определяющих особенности запуска апплетов, приложений Java Web Start или JavaFX, не содержащих цифровой подписи. В Java SE 7 Update 11 был по умолчанию активирован уровень, требующий обязательного ручного подтверждения перед запуском любого неподписанного апплета. Т.е. при наличии паразитного кода на странице, пользователю теперь должно выводиться предупреждение.

Проведённое Адамом исследование показало, что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя. По мнению Адама наиболее эффективным способом защиты от выполнения подобных скрытых апплетов является использование предоставляемой некоторыми браузерами функции "Click to Play", включающей плагин только после клика на области связанного с ним контента.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: В Java SE 7 Update 11 выявлены две новые уязвимости
  3. OpenNews: Для Java подготовлен эксплоит, базирующийся на новой 0day-уязвимости
  4. OpenNews: Доступен выпуск Java SE 7 Update 11 с устранением критических уязвимостей
  5. OpenNews: В сети обнаружен эксплоит, поражающий неисправленную уязвимость в Java 7
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35941-java
Ключевые слова: java, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 18:26, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Опять любителям кактусовой диеты слабительного подкинули ))))
     
  • 1.4, Аноним (-), 19:00, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    некоторые браузеры гораздо лучше защищены от явы
     
     
  • 2.15, Аноним (-), 20:22, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Особенно те где она не инсталлирована.
     

  • 1.7, Имя (?), 19:27, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пора создавать отдельный раздел для новостей по сабжу.
     
     
  • 2.9, Имя (?), 19:29, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    и да, моё отношение к новости - по новости triple facepalm
     

  • 1.8, koblin (ok), 19:28, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кто "заказал" Яву?!
     
     
  • 2.11, A.Stahl (?), 19:53, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +24 +/
    Это несколько разработчиков из Sun смотрят в свой старый код, находят баги и раз в месяц, ухохатываясь, пишут очередной эксплойт.
     
     
  • 3.31, Аноним (-), 23:02, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    с такими знаниями они прогдяться FBR
     
     
  • 4.42, Аноним (-), 09:59, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кому-кому они "прогдяться"?
     
  • 4.43, другой аноним (?), 10:36, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а кто это такие? (FBR)
     
     
  • 5.46, Капитан (??), 12:28, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Facebook & Reddit, очевидно же.
     

  • 1.16, Омский линуксоид (?), 20:33, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это такой способ PR. Все понимают, что Java - развивающаяся технология, что баги находтяся и лечатся.
    P.S. Кто удаляет мои сообщения? Что такого плохого в них? Можно ссылку на правила, где нарушения?
     
     
  • 2.17, Имя (?), 20:47, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Они провоцируют срач.
    Обращайтесь к Михаилу, просто модератором припекло за любимую явку (оценочное суждение).
     
     
  • 3.18, Омский линуксоид (ok), 20:50, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну тогда можно тупо отключить комменты и не парить мозг. Все довольны, счастье.
     
     
  • 4.33, linux must _RIP_ (?), 23:21, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну тогда можно тупо отключить комменты и не парить мозг. Все довольны,
    > счастье.

    ну как же можно так :-) не погладить свое ЧСВ....

     
  • 3.50, Michael Shigorin (ok), 12:32, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Обращайтесь к Михаилу

    Если про меня -- не-а, сейчас разгребаюсь после зимней альтовской конференции.  Так что лучше http://www.opennet.me/contact.shtml

    2 всё_тот_же_бывший_ораклоид re #32: опять промахнулись, ругань удаляется в первую голову.  Хотите помочь -- средство сообщения о не соответствующих правилам форума сообщениях знаете.

     
  • 2.32, linux must _RIP_ (?), 23:20, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    не ищи логики в действиях Шигорина.
    Ее там просто нет - все что обижает нежную душу этого человека удаляется.
    И тут уж не важно - по делу или без...

    Когда его любимые artsu/амноним - других обзывают дебилами - это остается в истории.
    Стоит указать не технические пробелы в Linux - это стирается..
    Как-то так..

     

  • 1.19, Аноним (-), 20:51, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Буквально сегодня словил вирус. Хорошо, что Comodo изолировала и спросила, что с ним делать... Смотрю в логах, откуда взялся - а вызвавшее его приложение java.....

    В общем, для Opera действительно лучший рецепт - включить Enable On Demand Plugin.

     
  • 1.20, iZEN (ok), 21:09, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
    Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на Java бессмысленным занятием.
     
     
  • 2.21, ананим (?), 21:42, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не, не получается у тебя сохранить лицо при плохой игре.
    >уровни безопасности можно обойти и они эффективны только в теории.
    >На практике же … быстро удалось найти уязвимость … даже при активации наивысшего уровня защиты

    опа получается.

     
  • 2.22, taliano (ok), 21:57, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Скорее джава будет заблочена апдейтами во всех нормальных браузерах, чем защиту доведут до ума.
     
     
  • 3.24, iZEN (ok), 22:12, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Скорее джава будет заблочена апдейтами во всех нормальных браузерах, чем защиту доведут до ума.

    Приложения Java Web Start и JavaFX — довольно серьёзный сектор корпоративного (B2B) софта. Апплеты — унифицированный способ обеспечения аутентификации и авторизации пользователей в банковских системах обслуживания (B2C). Так что вряд ли заблочат.

     
     
  • 4.26, Аноним (-), 22:26, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я для себя эту проблему решил деверсификацией браузеров. Для банков - Chrome (и его ни для чего больше не запускаю), для gmail - firefox (чтобы не висеть авторизованным при поиске на гугле), для всего остального - Opera.

    В банке Авангард есть флешка с ключом. В момент, когда надо подписать - запускается java-апплет, но работающий только под виндовс и только для того, чтобы создать на системном диске директорию avn_ib со своей программой. И это вместо вcтроенного механизма Security Devices, который штатно присутствует в Firefox. Ну или хотя бы использовать плагины для любых ОС/браузеров, включая линуксы, как делает Рутокен. Ну и зачем такие поделки нужны?

     
     
  • 5.27, iZEN (ok), 22:35, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Я для себя эту проблему решил деверсификацией браузеров. Для банков - Chrome
    > (и его ни для чего больше не запускаю)

    По-моему, Chrome — это часть гугловского ботнета. Лично я опасаюсь проводить с помощью него хоть какие-то банковские транзакции и операции с крединтными картами.

    >, для gmail - firefox (чтобы не висеть авторизованным при поиске на гугле), для всего остального - Opera.

    Логично.

    > В банке Авангард есть флешка с ключом. В момент, когда надо подписать
    > - запускается java-апплет, но работающий только под виндовс и только для
    > того, чтобы создать на системном диске директорию avn_ib со своей программой.
    > И это вместо вcтроенного механизма Security Devices, который штатно присутствует в
    > Firefox. Ну или хотя бы использовать плагины для любых ОС/браузеров, включая
    > линуксы, как делает Рутокен. Ну и зачем такие поделки нужны?

    Спросите поставщиков услуг, использующих эти решения. Они лучше знают, зачем.

     
     
  • 6.35, ананим (?), 23:39, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > По-моему, Chrome — это часть гугловского ботнета. Лично я опасаюсь проводить с помощью него хоть какие-то банковские транзакции

    Судя по сабжу, жаба бот-нет не только оракла, но и кого угодно.

     
  • 5.38, birioukoff (ok), 01:03, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > В банке Авангард есть флешка с ключом. В момент, когда надо подписать
    > - запускается java-апплет, но работающий только под виндовс и только для
    > того, чтобы создать на системном диске директорию avn_ib со своей программой.

    У меня тоже есть такая же флешка того же банка. Ответственно заявляю, что постоянное пользовался этим апплетом под Ubuntu и никаких проблем. Единственное - под Ubuntu у меня стоит Java оригинальная от Oracle, а не OpenJDK, которая по умолчанию в Ubuntu. Может у Вас в этом загвоздка? Проверено на практике - OpenJDK по поведению довольно сильно отличается от Oracle Java, особенно при использовании Swing (хотя в данном апплете он не используется).

    Только вот у меня загвоздка в том, что на моей рабочей машине под виндовс 7 после обновления джавы до 11 апдейта апплеты перестали запускаться вообще и в хроме, и в файерфоксе, смог подписать банковскую платежку только из-под IE! Это вообще-то не есть гуд, может кто что с этим делать?

     
     
  • 6.40, Омский линуксоид (ok), 05:56, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно. Пишите ваш ойпи.
     
     
  • 7.44, Гость (?), 10:39, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    :)
     
  • 7.45, birioukoff (ok), 10:43, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Можно. Пишите ваш ойпи.

    Поясните для тех кто не в теме, обычный пользователь я )

     
  • 7.48, MrClon (?), 16:50, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Можно. Пишите ваш ойпи.

    127.0.0.1

     
     
  • 8.49, Led (ok), 01:33, 30/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Классический одмин вин-локалхоста пожаловал... текст свёрнут, показать
     
  • 4.28, taliano (ok), 22:50, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В конторах банк-клиенты только у бухов есть. И то не у всех на джаве.
    И сколько народа должно пострадать ради некоторых?
     
  • 4.34, ананим (?), 23:36, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Апплеты — унифицированный способ обеспечения аутентификации и авторизации пользователей в банковских системах обслуживания (B2C).

    Боже, храни нас.

     
  • 2.23, Имя (?), 22:09, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java
    > будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
    > Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая
    > деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на
    > Java бессмысленным занятием.

    iZen, ты хоть читал? если производитель срочно не залатает то всей концепции апплетов хана.
    Будешь потом только для серверов писать, ну может и не плохо.

     
     
  • 3.25, iZEN (ok), 22:19, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Это хорошо, что взялись ломать по-серьёзному. Глядишь, через несколько лет в Java
    >> будет пуленепробиваемая защита того же уровня, что и в Jail FreeBSD.
    >> Наконец-то введут обязательную подпись апплетов (предтеча технических средств DRM) и последующая
    >> деанонимизация авторов кода (через PKI это естественно) сделает написание зловредов на
    >> Java бессмысленным занятием.
    > iZen, ты хоть читал? если производитель срочно не залатает то всей концепции
    > апплетов хана.

    Хана — концепции неподписанных апплетов и приложений. Так туда им и дорога!
    Для подписанных — всё остаётся в силе и работает как надо.

    > Будешь потом только для серверов писать, ну может и не плохо.

    Хотелось бы писать.

     
     
  • 4.36, ананим (?), 23:42, 28/01/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > > Будешь потом только для серверов писать, ну может и не плохо.
    >Хотелось бы писать.

    Хм, тогда слезь со своей хп (о которой ты писал) и займись делом.

     

  • 1.29, Аноним (-), 23:00, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ораклу на всех плевать, он делает вид что работет.
    Понаобретал крупных копаний и ничего н делает
     
  • 1.30, Аноним (-), 23:01, 28/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Оракл, - самые дорогие FAIL за всю индустрию
     
     
  • 2.39, pavlinux (ok), 01:04, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Про Windows Phone 7 уже забыли?
     

  • 1.41, Clight (?), 08:33, 29/01/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Интересно, если он поступил на работу в оракл, то помогло бы это делу, или помогло бы дело то, если бы оракл открыл джаву и начал работать с сообществом.
     
     
  • 2.47, Аноним (-), 16:26, 29/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы он работал с сообществом это не нагнетало бы работу разработчикам.
    Теперь все должны думать об альтернативах
    Тот же андроид использует запускаемую java в прилжениях
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру