Java

Probléma a Java SE 7 új biztonsági funkcióival

Címkék

A Security Explorations részéről Adam Gowdiak egy levelet küldött ma a FD levelezési listára, amelyben arról ír, hogy probléma van a Java SE 7 új biztonsági szolgáltatásaival. Az Oracle Java-ért felelős biztonsági vezetője szerint újabban jelentős fejlesztéseket eszközöltek a Java-ban, például azért, hogy megakadályozzák a csendes exploitálásokat. A vezető szerint a probléma az, hogy az emberek nem értik még ezeknek az új szolgáltatásoknak a működését.

A 2012. októberében kiadott Java SE 7 Update 10-től kezdve a felhasználó beállíthatja azt a biztonsági szintet, amely akkor kerül használatra, ha a böngészőben aláírás nélküli (unsigned) Java alkalmazásokat futtatnak. A Java teljes letiltásán kívül négy szint állítható be:

A Java SE 7 u11 igazoltan sebezhető

Címkék

Ahogy arról már korábban szó volt, jelentések szerint underground fórumokon Java 7 u11-hez használható exploit-ot árusítottak. Akkor még csak sejteni lehetett, hogy a frissen patchelt Java 7 u11 továbbra is sebezhető. Most viszont Adam Gowdiak a Security Explorations-től megerősítette a feltételezést a full-disclosure listán. Levele szerint a Java 7 u11 (JRE version 1.7.0_11-b21) alatt ki lehet törni a Java biztonsági sandbox-ból, valamint két új biztonsági sebezhetőséget is felfedeztek a Java SE 7 kódjában. A két sebezhetőség leírását - működő PoC kódok társaságában - eljuttatták az Oracle-höz.

A részletek itt.

Újabb Java 0day-t árultak 5000 dollár / darab áron

Címkék

Brian Krebs blogján arról számol be, hogy alig telt el 24 óra azóta, hogy az Oracle javítást adott ki a legutóbbi Java 0day-re, hétfőn máris újabb exploitot kínáltak megvételre. Az egyik exkluzív cyberbűnözői fórumon megjelent egy üzenet, amelyben az állt, hogy az eladó két vevőnek is értékesítette már az új exploitot, darabonként 5000 dollárért. A felkínált exploit állítólag élesített és az eladó a forrás átadását is megígérte.

Erősen valószínű, hogy a vasárnapi javítás után a fenyegetettség nem szűnt meg, így érdemes továbbra is fokozottan figyelni erre a problémára. Részletek itt.

Biztonsági probléma van a Java 7 Update 7-tel is

Címkék

Ugyan az Oracle javítást adott ki az április óta általa is ismert, súlyos biztonsági hibára, szakemberek újabb kritikus hibát találtak a frissen patchelt Java 7-ben. A Security Explorations - aki a csütörtökön javított hibát is jelentette - szerint a Java 7 Update 7-tel is probléma van. A cég - elővigyázatosságból - pontos részleteket nem közölt a hibáról. A hibát bejelentette az Oracle-höz, ami ugyan még nem erősítette meg az új hiba létezését, viszont az igen, hogy kapott a Security Explorations-től hibabejelentést és azt már elemzi.

A részletek itt olvashatók.

Java 7 0-Day sebezhetőség, exploit

Címkék

A hírek szerint súlyos sebezhetőség található a Java 7-ben. PoC exploit kering szabadon. Korlátozottan már ki is használják a hibát. A Metasploit Exploit team nem tétlenkedett, tegnap este neki is látott a cucc feldolgozásának. A PoC felhasználásával néhány órán belül működő exploitot gyártottak. A javaslat: a probléma súlyos problémaként kezelése és a Java teljes letiltása a javítás megérkezéséig.

[ Windows 0day exploitation with Internet Explorer, Firefox and Chrome | Ubuntu 12.04 exploitation with Firefox ]

Liferay Code Camp

Címkék

A Liferay Hungary programozói versenyt hirdet egyetemisták/főiskolások számára. Webes technológiák ismerete, Java ismeret nyilván feltétel, a konkrét Liferay ismeret azonban nem. A verseny ideje alatt minden résztvevőnek lesz mentora. A mentorok a Liferay Hungary munkatársai, feladatuk a versenyzők pártatlan segítése.