21:49
30/8/2012

A jednak, Oracle wypuściło właśnie patche na dziurę z której korzystają grasujące po sieci exploity. Patche do pobrania stąd (dotyczą zarówno wersji Java 1.7 jak i Java 1.6.).

Przyczyna tak szybkiej reakcji…

Patcha początkowo Oracle planowało wydać w październiku w ramach cyklicznych (co 4 miesiące) aktualizacji. Ale wydało dziś. Tak szybka reakcja Oracle wynika z faktu, iż firma miała już gotowego patcha na tę podatność, bo jak się okazuje, wiedziała o niej od kwietnia. Błąd (razem z 18 innymi) zgłosił do Oracle Adam Gowdiak, któremu firma dziękuje w swoim oświadczeniu.

Alert for CVE-2012-4681

CVE-2012-4681

Jak o dziurze dowiedziały się o osoby, które stworzyły i aktywnie wykorzystywały exploita w internecie? Czy — podobnie jak było to w przypadku Microsoftu i exploita na RDP — informacja o 0day’u w Javie wyciekła od jednego z partnerów Oracle? Czy może błąd został odkryty niezależnie? Wszystko wskazuje na drugą opcję, ponieważ Adam twierdzi, że jego PoC różni się od krążącego po internecie exploita.

Przeczytaj także:



30 komentarzy

Dodaj komentarz
  1. Zastanawiam się dlaczego domena isjavaexploitable.com została zarejestrowana w marcu tego roku, a nie później, kiedy zaczął się rozgłos o explotach.

    • Bo na Javę ostatnimiczasy sporo było dobrych exploitów dostępnych publicznie.

  2. Nie wiem który zainstalować poszę o pomoc we wskazaniu odpowiedniej paczki (Windows)

    • Znajdź na podanym adresie to:
      “Java SE 6 Update 35”

    • ale nawet tam sa dwie wersje, wiec?

    • “What Java Do I Need?” You must have a copy of the JRE (Java Runtime Environment) on your system to run Java applications and applets. To develop Java applications and applets, you need the JDK (Java Development Kit), which includes the JRE.
      Wnioskuje ze developerem nie jestes wie scaignij JRE, chyba ze sie myle i piszesz cos w Javie, to scaignij JDK ktore ZAWIERA JRE.

  3. No nareszcie! Całe szczęście że nareszcie to wydali :)

  4. Ciekawe że Oracle łatkę mogli wypuścić w kilka dni, a co robili wcześniej przez tyle czasu…

    • Zapewne nie mieli jej jeszcze w pełni przygotowanej, a przez ostatnie dni mocno ją testowali ;)

    • zapewne…

    • zapewne otwierajac nowa puszke pandory w pomidorach :) uups .. makreli przeciez

    • Oczywiście spiesząc się z wydaniem patcha w ciągu kilku dni (bo sprawa wyszła na jaw), bez testów, wcale nie zrobili kilku kolejnych 0day’ów.

    • @WRonX Przecież w kwietniu wiedzieli, to jakie “kilka dni”?

    • Pewnie jakiś klient zaczął im grozić sądem to się pośpieszyli

    • @WRonX No i stało się, gdzie kupiłeś kryształową kulę? http://arstechnica.com/security/2012/08/critical-bug-discovered-in-newest-java/

  5. W koncu spokojnie mogę wejść na czacik…;)

  6. czy java ma jakiś związek z ThePirateBay?? jak wyłączyłem wtyczkę to strona zaczęła działać

    • Zbieg okoliczności. Ostatnio mieli DDoS-a, ale już po wszystkim.

  7. plox, do some anty-idiot comments validators >.<

    • Rzeczywiście, tego nie dałoby się napisać po polsku. Źdźbło w oku bliźniego!

    • *anti-idiot jak piszesz po angielsku to chociaż pisz poprawnie.

    • @cojack: jeśli koniecznie po angielsku, to chociaż poprawnie plox
      http://en.wiktionary.org/wiki/anty :-)

  8. That’s why I use OpenJDK… :)

  9. Congrats! You appear to be running a version that isn’t vulnerable to publicly disclosed exploits.

  10. But, unfortunately, some websites do not work with OpenJDK, for example mBank stock quotes…

  11. Ktoś tu zaproponował żeby odinstalować jave. A co z openoffice?

    • @hoho OpenOffice (Libre Office) będzie działał. Java jest potrzebna jak mi się wydaje tylko do pomocy. I do instalacji.

  12. […] kilka godzin po wydaniu wczorajszej poprawki do Javy odkryto, że o ile usuwa ona kilka błędów, to jednocześnie otwiera nowe możliwości ataku. […]

  13. […] przeglądarce, pod dowolnym systemem. Błąd był znany od kwietnia, ale Oracle chciało poczekać do października z wydaniem patcha (ichni cykl […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: