Новость: Ошибка в коде Java ставит под удар и Windows, и Linux
(Категория: Java)
Добавил Roman I Khimov
Среда, 24 Ноябрь 2004, 17:45
Ошибка в модуле Sun Microsystems для исполнения Java на разных браузерах и операционных системах позволяет вирусам распространяться через ПК под Microsoft Windows и Linux.
Уязвимость, обнаруженная в июне финским специалистом по безопасности Йоуко Пюнноненом, была исправлена Sun в прошлом месяце, но детали опубликованы только во вторник. Компания Secunia, специализирующаяся на секьюрити-информации, распространила предупреждение об этой ошибке, которую назвала «высоко критической».
Плагин Java позволяет безопасно исполнять на компьютере пользователей небольшие веб-программы, называемые аплетами. Однако из-за ошибки веб-сайты злоумышленников, к которым жертва обращается через браузер, могут обходить эту защиту. «Она позволяет атакующим исполнять занесенный код без вмешательства пользователя (не считая обращения к веб-странице) — такие ошибки обычно классифицируется как „критические”», — пояснил Пюннонен в интервью по e-mail. — Один и тот же эксплойт может применяться против разных операционных систем и браузеров, что еще больше обостряет ситуацию». Например, данная уязвимость может использоваться для атак на системы Windows или Linux с браузером Microsoft Internet Explorer или Firefox, так что риску подвержено очень большое число систем.
Злоумышленник может делать на компьютере все, что доступно самому пользователю, включая браузинг, модификацию или исполнение файлов, загрузку программ в систему жертвы или отправку данных из этой системы, пишет Пюннонен в своем предупреждении, датированном вторником.
Хотя в популярных браузерах было выявлено много проблем безопасности, данная ошибка — редкий удар по репутации технологии Sun Java. Java предназначена для безопасного исполнения программ, загружаемых из интернета, на разных браузерах. Обычно «песочница», изолирующая Java-аплеты от остальной системы, работала надежно. Однако ошибка позволяет при помощи кода Javascript исполнять функции Java, не рассчитанные на исполнение внешними программами.
На прошлой неделе, рассказывая о будущей операционной системе Sun Solaris 10, президент Джонатан Шварц отметил, что Java не была поражена ни одним вирусом. Однако новый пробел в защите позволяет вирусам использовать Java-плагин для заражения систем. Обнаруженная в октябре ошибка в Java-плагине для сотовых телефонов продемонстрировала, как злокачественная программа, замаскированная под полезное приложение, может разрушить программное обеспечение телефона.
Как и недавно обнаруженная в Microsoft Internet Explorer уязвимость iFrame, пробел в защите Java позволяет веб-сайту злоумышленника загружать и исполнять программы, наводящие хаос в ПК посетителя. «Ее легко применить для распространения вирусов или другого злокачественного ПО, — пишет Пюннонен в своем e-mail. — Сам эксплойт нельзя просто включить в сообщение e-mail, так как Java-аплеты, содержащиеся в таких сообщениях, обычно автоматически не запускаются. Но в сообщении может содержаться ссылка на веб-страницу с эксплойтом».
Представитель Sun не стал говорить о том, как злоумышленники могут воспользоваться ошибкой, но сказал, что компания усердно работает над тем, чтобы распространить поправку среди всех пользователей. «Мы относимся к этому очень серьезно и сделали все, чтобы опубликовать эти исправления», — сказал он во вторник.
Рекомендации Sun, Secunia и Pynnonen не содержат указаний на то, что проблема может затрагивать и операционную систему Mac OS X от Apple Computer, которая, как и Linux, основана на Unix-подобном ядре. Представитель Sun сказал, что вопрос о Мас изучается.
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1259 )
(Категория: Java)
Добавил Roman I Khimov
Среда, 24 Ноябрь 2004, 17:45
Ошибка в модуле Sun Microsystems для исполнения Java на разных браузерах и операционных системах позволяет вирусам распространяться через ПК под Microsoft Windows и Linux.
Уязвимость, обнаруженная в июне финским специалистом по безопасности Йоуко Пюнноненом, была исправлена Sun в прошлом месяце, но детали опубликованы только во вторник. Компания Secunia, специализирующаяся на секьюрити-информации, распространила предупреждение об этой ошибке, которую назвала «высоко критической».
Плагин Java позволяет безопасно исполнять на компьютере пользователей небольшие веб-программы, называемые аплетами. Однако из-за ошибки веб-сайты злоумышленников, к которым жертва обращается через браузер, могут обходить эту защиту. «Она позволяет атакующим исполнять занесенный код без вмешательства пользователя (не считая обращения к веб-странице) — такие ошибки обычно классифицируется как „критические”», — пояснил Пюннонен в интервью по e-mail. — Один и тот же эксплойт может применяться против разных операционных систем и браузеров, что еще больше обостряет ситуацию». Например, данная уязвимость может использоваться для атак на системы Windows или Linux с браузером Microsoft Internet Explorer или Firefox, так что риску подвержено очень большое число систем.
Злоумышленник может делать на компьютере все, что доступно самому пользователю, включая браузинг, модификацию или исполнение файлов, загрузку программ в систему жертвы или отправку данных из этой системы, пишет Пюннонен в своем предупреждении, датированном вторником.
Хотя в популярных браузерах было выявлено много проблем безопасности, данная ошибка — редкий удар по репутации технологии Sun Java. Java предназначена для безопасного исполнения программ, загружаемых из интернета, на разных браузерах. Обычно «песочница», изолирующая Java-аплеты от остальной системы, работала надежно. Однако ошибка позволяет при помощи кода Javascript исполнять функции Java, не рассчитанные на исполнение внешними программами.
На прошлой неделе, рассказывая о будущей операционной системе Sun Solaris 10, президент Джонатан Шварц отметил, что Java не была поражена ни одним вирусом. Однако новый пробел в защите позволяет вирусам использовать Java-плагин для заражения систем. Обнаруженная в октябре ошибка в Java-плагине для сотовых телефонов продемонстрировала, как злокачественная программа, замаскированная под полезное приложение, может разрушить программное обеспечение телефона.
Как и недавно обнаруженная в Microsoft Internet Explorer уязвимость iFrame, пробел в защите Java позволяет веб-сайту злоумышленника загружать и исполнять программы, наводящие хаос в ПК посетителя. «Ее легко применить для распространения вирусов или другого злокачественного ПО, — пишет Пюннонен в своем e-mail. — Сам эксплойт нельзя просто включить в сообщение e-mail, так как Java-аплеты, содержащиеся в таких сообщениях, обычно автоматически не запускаются. Но в сообщении может содержаться ссылка на веб-страницу с эксплойтом».
Представитель Sun не стал говорить о том, как злоумышленники могут воспользоваться ошибкой, но сказал, что компания усердно работает над тем, чтобы распространить поправку среди всех пользователей. «Мы относимся к этому очень серьезно и сделали все, чтобы опубликовать эти исправления», — сказал он во вторник.
Рекомендации Sun, Secunia и Pynnonen не содержат указаний на то, что проблема может затрагивать и операционную систему Mac OS X от Apple Computer, которая, как и Linux, основана на Unix-подобном ядре. Представитель Sun сказал, что вопрос о Мас изучается.
По материалам ZDNet.ru
Источник этой новости Центр информации по операционным системам
( http://www.osrc.info/news.php?extend.1259 )