Все новости от 24 ноября 2004 г. Ошибка в коде Java ставит под удар и Windows, и Linux
Ошибка в модуле Sun Microsystems для исполнения Java на разных браузерах и операционных системах позволяет вирусам распространяться через ПК под Microsoft Windows и Linux.
Уязвимость, обнаруженная в июне финским специалистом по безопасности Йоуко Пюнноненом, была исправлена Sun в прошлом месяце, но детали опубликованы только во вторник. Компания Secunia, специализирующаяся на секьюрити-информации, распространила предупреждение об этой ошибке, которую назвала «высококритической».
Плагин Java позволяет безопасно исполнять на компьютере пользователей небольшие веб-программы, называемые аплетами. Однако из-за ошибки веб-сайты злоумышленников, к которым жертва обращается через браузер, могут обходить эту защиту.
«Она позволяет атакующим исполнять занесенный код без вмешательства пользователя (не считая обращения к веб-странице) — такие ошибки обычно классифицируются как „критические”», — пояснил Пюннонен в интервью по e-mail.
— Один и тот же эксплойт может применяться против разных операционных систем и браузеров, что еще больше обостряет ситуацию». Например, данная уязвимость может использоваться для атак на системы Windows или Linux с браузером Microsoft Internet Explorer или Firefox, так что риску подвержено очень большое число систем.
Злоумышленник может делать на компьютере все, что доступно самому пользователю, включая браузинг, модификацию или исполнение файлов, загрузку программ в систему жертвы или отправку данных из этой системы, пишет Пюннонен в своем предупреждении, датированном вторником.
Хотя в популярных браузерах было выявлено много проблем безопасности, данная ошибка — редкий удар по репутации технологии Sun Java. Java предназначена для безопасного исполнения программ, загружаемых из интернета, на разных браузерах. Обычно «песочница», изолирующая Java-аплеты от остальной системы, работала надежно.
Однако ошибка позволяет при помощи кода Javascript исполнять функции Java, не рассчитанные на исполнение внешними программами.
На прошлой неделе, рассказывая о будущей операционной системе Sun Solaris 10, президент Джонатан Шварц отметил, что Java не была поражена ни одним вирусом.
Однако новый пробел в защите позволяет вирусам использовать Java-плагин для заражения систем. Обнаруженная в октябре ошибка в Java-плагине для сотовых телефонов продемонстрировала, как злокачественная программа, замаскированная под полезное приложение, может разрушить программное обеспечение телефона.
Как и недавно обнаруженная в Microsoft Internet Explorer уязвимость iFrame, пробел в защите Java позволяет веб-сайту злоумышленника загружать и исполнять программы, наводящие хаос в ПК посетителя.
«Ее легко применить для распространения вирусов или другого злокачественного ПО, — пишет Пюннонен в своем e-mail. — Сам эксплойт нельзя просто включить в сообщение e-mail, так как Java-аплеты, содержащиеся в таких сообщениях, обычно автоматически не запускаются. Но в сообщении может содержаться ссылка на веб-страницу с эксплойтом».
Представитель Sun не стал говорить о том, как злоумышленники могут воспользоваться ошибкой, но сказал, что компания усердно работает над тем, чтобы распространить поправку среди всех пользователей.
«Мы относимся к этому очень серьезно и сделали все, чтобы опубликовать эти исправления», — сказал он во вторник.
Рекомендации Sun, Secunia и Pynnonen не содержат указаний на то, что проблема может затрагивать и операционную систему Mac OS X от Apple Computer, которая, как и Linux, основана на Unix-подобном ядре. Представитель Sun сказал, что вопрос о Мас изучается. В продолжение темы:
|
|
| нц 24 Nov 2004 1:50 PM |
Ну даа.. только проблема поправлена в _06, а скачивается с java.com _05 Както не получается срочно никак... |
|
| miroh 24 Nov 2004 4:13 PM |
Не знаю - скачивается как раз 06 а в новом 1.5 этой проблемы вообще нет изначально. Хотя все равно тревожно.. |
|
| Пётр 24 Nov 2004 6:27 PM |
а можно этот апдейт через SUS распространять по сети? |
|
| Пётр 24 Nov 2004 6:48 PM |
А вообще есть он отдельный этот апдейт, или полностью Жава-машину надо переставлять? |
|
| Mauhuur - warlockskeptik.net 24 Nov 2004 11:29 PM |
Хур-рах!!! Какой плевок в мордасы ненавистной Жабе!!! |
|
| Chkaloff 25 Nov 2004 10:31 AM |
2 Пётр: SUS вообще не предполагает распространение апдейтов третих сторон. Да и сами апдейты от MS очень ограничены. Т.е. туда входят апдейты к OS + .NET Framework + Windows Sharepoint Services. И кажется все. Никаких апдейтов для Офиса или MSSQL. А вот в их новой версии, которая называется WUS постепенно должно быть внедрено распространение апдейтов для всех продуктов MS. |
|
| евгений 25 Nov 2004 1:03 PM |
2Mauhuur: кому как. для меня - это страсть =) |
|
| Пётр 25 Nov 2004 1:06 PM |
Ну мало ли. Ведь Сан получил от МСа деньги отступные чтобы урегулировать дело с этой самой Жавой. Может они эти деньги с умом решили использовать и договорились с МСом чтобы на windowsupdate выложить патчик. |
|
| PTO - ptokgb.ru 25 Nov 2004 5:15 PM |
2 Chkaloff: угу, WUS даже тот, что в публичной бете уже умеет апдейтить Вин+Офис+SQLServer+Exchange. Апдейтить продукты третьих фирм неможет по соображениям безопасности (все апдейты подписаны ключом МСа и неподписанные апдейты не ставятся). Обновлять все остальное либо через логон-скрипт, либо через публикацию приложений в АД, либо СМСом принудительно |
|
| Пётр 26 Nov 2004 7:34 AM |
да вот, похоже, и получается что самый лучший способ - это SMS. Именно потому что продукт третьей фирмы и именно потому что нужно апдейтить принудительно. |
|
| Пётр 26 Nov 2004 7:35 AM |
Просто я надеялся, что Сан не только деньги умеет брать, но и делать за эти деньги что-то, ан нет, как всегда в отношении этой компании я ошибся. :) |
|
| DupleX 26 Nov 2004 4:46 PM |
Без ошибок никто не пишет :) Даже Бог! Доказательство - Люди. |
|
| begemotik.ee 26 Nov 2004 10:25 PM |
Не что необъедняет ползователей Линух и Винды как ошибка в яве. |
|
|