Keresés: - [Re:] Továbbra is a Java a legsebezhetőbb

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Új hozzászólás Aktív témák

#44 attila9988 őstag floatr #26

Új Válasz 2014-08-18 11:14:35 #44
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

attila9988

őstag

válasz floatr #26 üzenetére

Ráadásul egy rakat ilyen sokáig még akkor is foltozatlan maradt, amikor kiderült a hiba, ezek szerint akkor mindezeknek pusztulni a kéne
Hát ez az... ezért írtam hogy ha ez lenne a mérce, akkor már windows -t sem használna senki ezer éve... sőt, ki kellene kukázni az összes számítógépet, és akkor lenne tuti biztonságos papír alapú ügyintézés.... működött az is régen...
#34 bambano titán floatr #32

Új Válasz 2014-08-15 13:37:32 #34
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz floatr #32 üzenetére

nem, nem hitt semmit, tudja, mi az a dalvik.
az az állítás, hogy a gépek többségén windows fut, nem igaz. a desktopok többségén fut windows, a desktopokra leszűkíteni a poszt állításait abból a téves feltételezésből indul ki, hogy a jelentés csak a desktopokon futó böngészők sebezhetőségeiről szól, pedig nem, rá kell klikkelni.
#29 modeller aktív tag floatr #26

Új Válasz 2014-08-14 23:13:34 #29
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

modeller

aktív tag

válasz floatr #26 üzenetére

"De akkor meg rettegjetek, mert a bankok vakmerően használják "
Ti meg ne patcheljétek a javas dolgokat szerveren, mert felesleges, nincs benne hiba és/vagy nem lehet távolról kihasználni.
Ehhez nincs mit már hozzátenni.
#16 rt06 veterán floatr #4

Új Válasz 2014-08-14 19:39:04 #16
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

rt06

veterán

válasz floatr #4 üzenetére

nvm
#10 modeller aktív tag floatr #9

Új Válasz 2014-08-14 18:11:23 #10
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

modeller

aktív tag

válasz floatr #9 üzenetére

Ne vicceljünk már ezzel. Ennyi erővel minden szerver tűzfal mögött van, meg DMZ-ben és csak másik szerver hivja és hasonlók. Tökmindegy. Ilyenkor szokták még előhozni, hogy "ó csak local exploit, távolról nem lehet kihasználni". Aztán nagy szemekkel néznek, amikor egy önmagában bagatel remote exploit-al kombinálva szanaszét törnek mindent.
Ezen nincs mit szépiteni, a java hibák a szerveren használt java-s dolgokat is érintik.
"szintén ritka, hogy problémás júzerek támadnának."
Ezt egy biztonsági szakértő meghallja, sirva futna el. Nem önmagában kell vizsgálni a hibákat, hanem rendszerszinten, ahol az apróbb hibák hatványozódnak és a végén átjáróház az egész rendszer.
" Elég gáz ez is, de JRE/plugin probléma, nem a "nyelvé"."
De hát ugyanazt a JRE-t használják szerveren is ami ezer sebből vérzik. A "nyelv" szón meg felesleges pörögni, mindenki tudja, hogy miről van szó, mint irtam .net hiba esetén sem a nyelv a hibás és php hiba esetén sem a nyelv a hibás, hanem a framework.
#8 modeller aktív tag floatr #4

Új Válasz 2014-08-14 17:19:20 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

modeller

aktív tag

válasz floatr #4 üzenetére

Tessék
Ez egy nagyon durva java hiba, mind kliens mind szerver oldalon működött, simán ki lehet lépni vele a sandbox-ból és bármit művelni a gépen. Ha a szerver oldali kódod használta az MBeanInstantiator-t és a runtime-od a lyukas szériából volt (mivel 0day exploit, ezért mindenkinek az volt) akkor lyukas is lett tőle az alkalmazásod.
Szerintem amiket te kliens oldali hibáknak gondolsz annak nagyon nagy százaléka pont ugyanúgy érint szerveroldalon is és ilyenből végtelen mennyiségű van. Más kérdés, hogy szerveren általában jobban felügyelve van a környezet, a futatott dolgok, de ettől még a java hibák ott is nagyon súlyosak. Aki nem patcheli folyamatosan a java-t szerveren, mert elhiszi, hogy az a kliens oldalt meg a böngészőket érinti az konkrétan hülye.
#2 modeller aktív tag floatr #1

Új Válasz 2014-08-14 16:18:57 #2
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

modeller

aktív tag

válasz floatr #1 üzenetére

Messze nem csak a böngésző pluginról van szó. Keress rá a java-s CVE-kre, csak a JRE-t több mint 130 hiba érintette tavaly. Ezek a hibák nem csak a böngészőből használhatók ki, hanem desktopos alkalmazásokból és persze szerver oldalon is, ami JRE-t használ.
"Nem a java nyelvről van szó, hanem a böngésző pluginről."
Igen, a .net hibák, meg nem a .net nyelvet érintik, hanem csak egy adott .net framework-öt.
A helyzet az, hogy valóban iszonyat lyukas a java. Nálunk az összes gépről tiltva van, kivéve aki ányk-zik, mert ott sajnos muszáj ezt a hulladékot használni. Egyébként érdemes rákeresni, épp nemrég lett használhatatlan több bank java-s ebankja, az ügyfélkapus filefeltöltés és még sok más egy új java frissitéstől. Vissza kellett rakni egy még lyukasabb verziót az archiv letöltésekből. Vicc az egész.