Újabb kritikus Java sebezhetőséget jelentett be a Security Explorations

A Security Explorations - ugyanaz a csapat, aki a múltkori Java sebezhetőséget is napvilágra hozta - egy újabb kritikus Java sebezhetőségről írt a Full Disclosure levelezési listán. A sebezhetőség az Oracle Java SE összes friss verzióját érinti. A bejelentés itt olvasható.

Hozzászólások

Első olvasatra ez is java applet probléma, amivel megint csak ki lehet törni a sandbox-ból.

Még egy kiegészítés: érdemes megnézni a srácok honlapját, gyakorlatilag teljesen a java
appleteken keresztül történő törésekre álltak rá, miközben a legtöbb java fejlesztő
utoljára úgy 2000 környékén használt java appletet, azóta a flash előretörésével ez egy
teljesen egzotikus állatfaj, gondolom ezért a Sun majd Oracle-nél sem sokat foglalkoztak vele.

Azért még elő-előfordul egy-egy Java Applet.

De nem kell ennyire messzire menni, simán lehet preparát Java appletet felrakni valami rosszindulatú oldalra. Szerinted az user gondolkodni fog rajta? Naná, hogy helyből kattint az igen, futtasd csak, sőt meg se kérdezd többet gombra...

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Jó volna, ha megszűnnének az appletek, de még nem tartunk ott. Valamelyik bank oldala is ebben készült, mindenféle control paneleken vnc, ssh kliensek, aztán ott van a chat.hu is, hogy említsek valamit ami az átlagfelhasználók egy részét erősen érintheti

De ez kb. rohadtul mindegy, hogy hany java app fut vagy hany nem fut, ha egyszer arrol van szo, hogy maga a JRE/Java osztalykonyvtarakban/banom is en, hogy hol van a hiba, amit egy preparalt appal (es nem egy random meglevo, valoszinuleg biztonsagos, joindulatu appal) fognak kihasznalni. Java meg azert eleg sok gepen van => igenis szamit az applet is.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Eljön az idő, amikor így kezdik az emberek a távoli korok meséjét, "ez még akkor történt, amikor a javaban nem találtak havonta sebezhetőséget".

"Belépés díjtalan, kilépés bizonytalan."

Azért értik a srácok, hogy kell jó marketinget csinálni a gondolom nemrég gründolt security cégüknek. Igazuk van.

Meg Chris Evansnak is:

I don't see any details?
This list is "full disclosure", not "touch self in public".

Már napok óta csiszolgatok a Chrome-hoz egy Apparmor profilt.(elsősorban, mert ismerkedni akarok az Apparmor-ral) Amit a chromium-hoz adnak, az csak össze van hányva. Ha kész lesz, akkor közzéteszem mintának.

Kicsit elbizonytalanodtam mikor megláttam hogy egy ilyen kérés észrevétlenül átcsusszan az apparmoron:

dbus-send --print-reply --dest=org.xfce.FileManager /org/xfce/FileManager org.xfce.FileManager.Launch string:/home/taxy/worm.sh string::0.0

(Vagyis bármit futtathatok DBUS-on keresztül)
Alig hittem a szememnek. Van így értelme ennek az egésznek?
Persze vannak ígéretes próbálkozások a dbus megfogására, de úgy tűnik, még eléggé kísérleti stádiumban van, meg korlátozott az elérhetősége. Használt már valaki ilyet?

Igen, köszi, láttam már, majd egyszer úgyis végigolvasom.
Most nekem nem ezzel a konkrét objektummal van gondom, mert ez disztribúcióra/kiadásra változik, hogy éppen hol vannak a sebezhető pontok rajta. Egy apparmor profilt viszont igyekszik úgy összeállítani az ember, hogy csak a minimális dolgokat engedje meg az alkalmazásnak, ami a működéséhez feltétlenül szükséges. Viszont a DBUS kikerüli a fájlrendszer nyújtotta ellenőrzési pontot, így abszolút nem lehet kontrollálni. Tehát a bajom, hogy későn eszméltek fel az Ubuntu alkotói, hogy ilyen lehetőséget be kéne építeni, hogy a dbus és az apparmor együtt működjenek. Igazából, nem tudom, hogy az eldugott, levlistákon osztogatott tar.gz bildeken kívül, van-e már erre valami rendes támogatás.