Серьёзная уязвимость JAVA машины от SUN/Oracle

Обсуждение всего, что связано с IT-сферой — софт, железо, игры, мультимедия, программирование, веб-дизайн, раскрутка, хостинг и многое другое.

Модератор: 0льгерт Палтус

Ответить
Аватара пользователя

Muxa

в отпуске
Сообщения: 8836
Поблагодарили: 7 раз

Серьёзная уязвимость JAVA машины от SUN/Oracle

Сообщение 27 мар 2011 05:59

Обнаружена серьёзная уязвимость виртуальной Java машины, позволяющая получить полное управление компьютером из сети интернет.
Уязвимость кросс платформенная и не зависит от используемой ОС. Злоумышленник получает доступ к компьютеру по сети Интернет через простой Java скрипт, размещённый на страничке. Скрипт может быть внедрённый в игрулю и даже MMS

детали уязвимости можно прочитать здесь:
Ссылки доступны только для зарегестрированных пользователей
далее по ссылка Вы можете найти исправление этой уязвимости.

проблема в том, что автоматического обновления на данный момент не существует и требуется выполнить Java скрипт из командой строки.
для этого скачиваем по ссылке ниже файл fpupdater-1_0.zip. распаковываем его например на рабочий стол. далее ищем на своих дисках, где установлена ваша машина Java. у меня она расположена по пути: "C:\Program Files\Java\jre6\".
кладём файл fpupdater.jar в папку "C:\Program Files\Java\jre6\lib". я до кучи положил его в папку "C:\Program Files\Java\jre6\bin"
далее нажимаем кнопку "Пуск" и выбираем пункт "Выполнить"
в открывшемся окне запуска программ нажимаем кнопку обзора и идем в то место, где у вас установлена Java. открываем под папку bin и ищем файл java.exe. это и есть Java - машина. выбираем его и нажимаем кнопку "открыть"
Получаем строку похожую на эту: "C:\Program Files\Java\jre6\bin\java.exe"
добавляем в неё копируя от сюда следующие ключи: -jar fpupdater.jar -u -v
получаем что то типа такой строки: "C:\Program Files\Java\jre6\bin\java.exe" -jar fpupdater.jar -u -v
Нажимаем кнопку "Ok".

если вы всё выполнили правильно, то откроется окно ДОС и начнётся выполнение скрипта обновления.
скрипт выполняется не быстро, поскольку обходит все ваши диски на предмет Java приложений и скриптов с уязвимым кодом.
по завершении обновления окно закроется само собой.
если диск не тарахтит, в окне не бегут строчки и оно само не закрылось, то вы сделали что то не так.
читайте, что написано в окне. скорее всего вы не туда положили файлик fpupdater.jar

ссылка для скачивания патча:
Ссылки доступны только для зарегестрированных пользователей

описанное подходит для пользователей Windows. необходимо войти с правами администратора локальной системы. в Win7, я думаю, что надо скрутить движок UAC на самый нижний уровень. пользователи Linux, Android, Symbian читают файл Readme на страничке по ссылке выше.

уязвимость очень крутая. ею страдают все приложения, написанные в среде SUN Java SDK. все, где используются операции с плавающей точкой!
практически она подобна ош. переполнения буфера для приложений, написанных в MS Visual Studio v5 и ниже, которой до сих пор пользуются большинство вирусов. не удивлюсь, если заражению подвержены даже простые мобилки с поддержкой Java...

да, ещё, антивирус Касперского знает это обновление (собственно он указал мне на уязвимость) и его выгружать не обязательно. как поведут себя другие антивирусы, я не знаю. советую их временно остановить.

Ответить