Empresa de segurança afirma que Sun expõe usuários a ataques

A guerra está lançada =D

http://idgnow.uol.com.br/seguranca/2007/07/11/idgnoticia.2007-07-11.9332764867/

Olá

Esta notícia está incompleta como geralmente acontece com o que vem do IDG. No mínimo é preciso acrescentar quais versões o eEye apontou como tendo falhas no Java Web Start:

eEye wrote:eEye Digital Security has discovered a stack buffer overflow in Java WebStart, a utility installed with Java Runtime Environment for the purpose of managing the download of Java applications. By opening a malicious JNLP file, a user's system may be compromised by arbitrary code within the file, which executes with the privileges of that user. Systems affected are Java Runtime Environment 6 update 1 and below and Java Runtime Environment 5 update 11 and below.

[]s
Luca

GUJ Master Membro desde: 16/12/2004 17:09:19 Mensagens: 1787 Offline

esse and bellow ficou estranho...então abaixo do Tiger não tem essa falha?

Olá

renato3110 wrote:esse and bellow ficou estranho...então abaixo do Tiger não tem essa falha?

O texto é claro: sistemas afetados: Java 6 até update 1 e todas as versões iguais ou anteriores ao Java 1.5 update 11

Segundo o texto,os únicos consertados são o Java 6 update 2 e o Java 1.5 update 12. Não sei se o Java 1.4.2 update 15 está a salvo.

Estes problemas dificilmente afetam sites com administradores de redes atentos que assinam todo tipo de informação de segurança e atualizam os sistemas sempre. Os afetados são os Manés que dormem no ponto ou empresas muito burocratizadas que levam tempo demais para agir.

[]s
Luca

Putz vou para de usar Java, ainda vou ser invadido e vão formatar meu PC!

Pra mim isto cheira a concorrência cutucando, pelo artigo estão dramatizando muito, e criticando exageradamente a Sun, onde estão tomando as medinas em um processo normal, como outras empresas como Microsoft tb fazem, ou melhor não fazem, mas a Sun pelo menos faz,

.

Estão resolvendo e boa, acho q não precisavam criticar tanto, pelo artigo parecem q tão querendo queimar um pouco o filme do Java... foi a idéia q fiquei...

JavaGuru Membro desde: 20/04/2006 09:00:42 Mensagens: 236 Offline

É lógico que esta critica tem o dedo de alguem, na minha máquina tenho XP, todo dia tem atualização de segurança e pelo menos uma vez por semana ou mais este update é marcado como critico.
Se fosso pra dar tanto valor assim a estes bugs a M$ tinha que sair no fantástico

Thread.start() Membro desde: 06/07/2007 11:31:34 Mensagens: 40 Offline

Cara se você usa XP e tem atualização de segurança TODOS OS DIAS, ou você está mentindo ou seu XP é diferente do meu.

Você usa o XP Sitio do Pica-Pau Amarelo é?

Segundo sua lóigica absurda, devo presumir que foram os programadores do windows que progamaram essa parte do código sujeito a brecha de segurança. Porque a notícia fala de um problema no produto da Sun e você já vem falar que o windows XP também tem problema, o que isso tem a ver meu deus? É um complô do windows pra queimar o java? Tenha paciência.

Entusiasta Java Membro desde: 24/10/2006 12:01:26 Mensagens: 18 Offline

Por que todos acham que a culpa de tudo é da Microsoft?
Sempre que se fala de algo aqui de alguma falha ou desvantagem no Java, acaba caindo na p.... da Microsoft.
Vamos ter um pouquinho mais de criatividade pessoal...
Não sou fã do Windows mas temos que admitir que para o usuário final é o mais amigável para uso.

Valeu!!

Olá

Antes que a discussão se prolongue, sugiro que leiam de novo a mensagem. A vulnerabilidade é um caso especial do Java Web Start que só pode ser explorada devido a uma característica do IE 7 e que já foi corrigida nas versões mais recentes. Se você usa Java Web Start no IE7 atualize seu JRE.

Mais sobre este assunto em http://www.heise-security.co.uk/news/91956

Esta não foi a primeira vulnerabilidade do Java e não será a última. Como disse antes, estas vulnerabilidades só costumam afetar administradores e sistemas relapsos. Com o volume de informações disponíveis hoje em dia, qualquer administrador meia boca mantém seu sistema imune com facilidade.

[]s
Luca

JavaGuru Membro desde: 20/04/2006 09:00:42 Mensagens: 236 Offline

Não to culpando ninguem, só quiz dizer que uma simples atualização não mereçe tanta falação. Agora quanto a questao de a atualização dop XP, to com o meu XP desatualizado faz duas semanas e tem 13 updates para fazer, na media da mais de 1 por dia.

giovanni_stiwes wrote:Não to culpando ninguem, só quiz dizer que uma simples atualização não mereçe tanta falação. Agora quanto a questao de a atualização dop XP, to com o meu XP desatualizado faz duas semanas e tem 13 updates para fazer, na media da mais de 1 por dia.

Mas com o Vista Ultimate isso melhorou... apenas 3 por semana!!! heheh

Voltando ao assunto do tópico, maior problema que vejo não é a falha de segurança, e sim como a reportagem foi feita (incompleta!). Muito barulho para algo que acontece em tudo, idenpendente de SO, linguagem etc.

flw!

Luca wrote:A vulnerabilidade é um caso especial do Java Web Start que só pode ser explorada devido a uma característica do IE 7 e que já foi corrigida nas versões mais recentes.

Tinha que ser, tinha que ser...

JavaChild Membro desde: 09/10/2006 17:47:32 Mensagens: 126 Offline

Sinceramente, muito barulho por causa de um problema já resolvido.

JavaGuru Membro desde: 05/07/2005 09:04:14 Mensagens: 240 Offline

Pelo que entedi o MeioBit não acha isso :S
Nessa matéria

olhem os comentarios

é só falar alguma coisa é vem algum chato e azucrina tudo ....

Olá

maniacs wrote:Pelo que entedi o MeioBit não acha isso :S
Nessa matéria

olhem os comentarios

é só falar alguma coisa é vem algum chato e azucrina tudo ....

Há muitos anos acompanho sites de segurança e nunca vi um texto tão tolo como o deste link. Motivos:

1) Não mostra qual a vulnerabilidade

2) Não mostra quais versões afetadas

Nem sei quem é este tal de Carlos Cardoso, mas para mim ficou a péssima imagem de um boateiro que não sabe explicar o boato.

Os comentários parecem vindos de gente que não costuma ler tópicos sobre segurança pois também não explicam nada.

[]s
Luca

Notícias, artigos e o maior fórum brasileiro sobre Java