Már aktívan kihasználják a nemrég bejelentett Java sebezhetőséget az interneten

 ( trey | 2010. április 15., csütörtök - 13:22 )

Szombaton volt szó arról, hogy biztonsági szakemberek új Java sebezhetőségekre hívták fel a figyelmet. Az egyik ilyen sebezhetőségről Tavis Ormandy, a Google biztonsági csapatának tagja számolt be a full-disclosure listán. Most Roger Thompson arról ír az AVG blogban, hogy nem sokkal a probléma és a PoC kód ismertetése után belefutottak a kódba egy orosz támadószerveren. Jelenleg úgy tűnik, hogy áldozatokat egy dalszövegeket (lyrics) kínáló oldalon próbálnak ejteni, de természetesen máshol is felbukkanhat a kód.

Az AVG azt javasolja, hogy a felhasználók vagy kövessék a Tavis által javasolt mitigációs stratégiákat vagy opcionálisan használják cége egyik termékét. A részletek itt.

Közben az Oracle kiadta a Java 6 Update 20-at, ami a hírek szerint javítja a Tavis által jelzett problémát. Legalábbis a publikált exploit nem működik sem IE-ben, sem Firefox-ban a frissítés telepítése után. A H Online szerint azonban úgy fest, hogy a frissítés nem minden esetben akadályozza meg az exploit működését.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az ágyú és a páncél örökké tartó versenye jut eszembe az egészről. :-/

A páncélon opcionálisan sincs akkora lyuk, amin egy patkány átfér, nem hogy egy golyó...
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

fordítva jobban üt (hogy stílszerű legyek :D) ;)

--
xterm

"Közben az Oracle kiadta a Java 6 Update 20-at"
Szokatlan...
--
Discover It - Have a lot of fun!

legalabb van penzuk azonnali bugfix alkalmazottakra. Nemhiaba sporoltak eddig \ő/ Nekem mar fenn is van
-----------
Happy, satisfied and completely up-to-date Archlinux user since 2009 september (KDE)
"Which version do you use?" "The latest stable" (a random archlinux user)

azonnali :)))

Ugy tunik, hogy az 5 nap mostanaban azonnalinak szamit. A mozilla is 1 honapig javitotta az exploitot, a Microsoft meg még tovabb :D
-----------
Happy, satisfied and completely up-to-date Archlinux user since 2009 september (KDE)
"Which version do you use?" "The latest stable" (a random archlinux user)