Biztonsági probléma a Sun JRE-ben

 ( trey | 2009. március 26., csütörtök - 21:39 )

A Sun Microsystems arra figyelmeztet, hogy biztonsági sebezhetőség található a Sun Java Runtime Environment-ben (JRE). A bug az unpack200 névre hallgató JAR Upacking Tool-t érinti. A rosszindulatú támadó speciálisan összeállított Java archive segítségével a hibát kihasználva tetszőleges kódot injektálhat illetve hajthat végre a felhasználó számítógépén, annak jogosultságaival. Bizonyos esetekben a hiba kihasználására akár egy speciálisan preparált weboldal meglátogatásakor is sor kerülhet.

A bug a Java JDK és JRE 5 Update 17 és korábbi, illetve a 6 update 12 és korábbi verziókban található. Mind a Windows, mind a Linux, mind a Solaris verziók érintettek. A Sun megjegyezte, hogy az 1.4.2-es és 1.3.1-es verziók nem érintettek.

A felhasználók a parancssort használva megállapíthatják, hogy milyen Java verziót futtatnak. Ehhez a "java -version" parancsot kell végrehajtani. Firefox böngészőkben az "about:plugins" lap is információkkal szolgálhat. Ezen kívül megállapítható a telepített Java verziója a "Verify Java Version" weboldal meglátogatásával.

A problémás verziót futtatóknak érdemes mielőbb frissíteni a Java 5 Update 18-ra vagy a Java 6 Update 13-ra.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

cool, de a java updater (megint) azt mondja, hogy a legújabb van a gépemen. ha ebben a szutyokban mindig csak 1 hét múlva jelenik meg egy újabb verzió, nem tudom, mi a francnak van.

Mondjuk én az updater processt kikapcsolom, de vezérlőpult/java Updatessel ellenőriztettem, hogy olvastam a cikket, és már szedi.
Nem csak hetente nézi automatikusan, az a baj?

"vezérlőpult/java Updatessel ellenőriztettem, hogy olvastam a cikket, és már szedi."

én is erről beszéltem, és kiírja, hogy "you already have the latest java(tm) platform on this system)"

u12 van fent...

Nekem megjobb: .12 van fenn, kiirja, hogy van ujabb (13), es erre letolti a 12-es insallert :)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ahaha, és tényleg :)
Végtelen ciklusban szedné a 12est :)

Biztos csak igy tudtak megoldani, hogy az updater ne sertsen semmilyen szabadalmat :)

mindegy... frissítettem kézzel

"bug a Java JDK és JRE 5 Update 17 és korábbi, illetve a 6 update 12 és korábbi verziókban található."

java -version:
java 6 update 11...

java update: you already have the latest version.

wtf :(

lBaltazar% java -version
java version "1.6.0_12"
Java(TM) SE Runtime Environment (build 1.6.0_12-b04)
Java HotSpot(TM) Client VM (build 11.2-b01, mixed mode)

Pfuuuh! :)

A 12 erintett, a 13 nem...

Nekem sikkantott egyet a gep a heten, hogy van 13, ugyhogy solved.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Az a jó a JAVA-ban, hogy ha hiba van benne, az is lassan fut. ;)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

Azért ahhoz elég gyors, hogy mire észbekapsz már fenn van a gépeden a malware.

Amúgy nem tudom miért szálltam be a javafikázó szálba, mert szeretem a javát :-).

A C is lassú*, na és? :) **

* relatív
** irónia

IcedTea6 és OpenJDK érintett vajon?

Jó kérdés..
Várhatóan a GIJ (GCJ), Kaffe, valamint egyéb nem Sun (pl. IBM, Oracle/BEA) JRE-k sem érintettek.