Vocês estão sabendo sobre este assunto? O que acham?
Provavelmente mais uma falha de overflow… afinal a máquina virtual java é feita em linguagem C…
O problema é no Java web start
http://maximumitblips.dailyradar.com/story/0day-java-web-start-arbitrary-command-line-injection/
A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe!
[quote=rogelgarcia]A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe![/quote]
Uma das minhas filosofia é essa também!
vlw
[quote=UMC][quote=rogelgarcia]A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe![/quote]
Uma das minhas filosofia é essa também!
vlw[/quote]
Pô cara… aí vc me quebrou… pode ser assim nao
[quote=rogelgarcia][quote=UMC][quote=rogelgarcia]A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe![/quote]
Uma das minhas filosofia é essa também!
vlw[/quote]
Pô cara… aí vc me quebrou… pode ser assim nao :D[/quote]
hum, é mesmo!!
5 motivos para que eu deixe essa filosofia!?!?
PS. Já foi mostrado os 5 motivos!
Não usarei mais essa filosofia!
vlw
Não sei até que ponto esta falha afeta muito a plataforma java, mas no mínimo considero um erro de estratégia da Oracle. Deixar um erro de segurança conhecido sem correção por um longo tempo ira causar ainda mais desconfiança da fusão Sun/Oracle.
Do problema em si, acredito que apesar da falha ser séria, não irá afetar muitos usuários, principalmente porque não existe uma tradição em utilizar java para invadir máquinas, além do fato de existirem meios mais fáceis, principalmente em um windows mal configurado…
flw…
Pelo que eu vi, a falha não é dificil de ser explorada não…
No meu computador, não funcionou … mas eu nao sei se to com o update…
Para explorer a falha, basta criar um site, com um JWS com determinada linha de comando, que voce conseguiria explorar o pc de alguém…
[quote=rogelgarcia]Pelo que eu vi, a falha não é dificil de ser explorada não…
No meu computador, não funcionou … mas eu nao sei se to com o update…
Para explorer a falha, basta criar um site, com um JWS com determinada linha de comando, que voce conseguiria explorar o pc de alguém…[/quote]
Tem como você me passar o que você fez pra testar pra que possa fazer esse teste?
vlw
Link com um teste não nocivo
[REMOVIDO, TROJAN]
Ormandy suggests the following mitigation advice:
Internet Explorer users can be protected by temporarily setting the killbit on CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. To the best of my knowledge, the deployment toolkit is not in widespread usage and is unlikely to impact end users.
Mozilla Firefox and other NPAPI based browser users can be protected using File System ACLs to prevent access to npdeploytk.dll. These ACLs can also be managed via GPO.
[quote=rogelgarcia]Link com um teste não nocivo
[REMOVIDO, TROJAN][/quote]
abri no Firefox e abriu a Calculadora!
No Chrome nem tem plugin disponível!
vlw
[quote=rogelgarcia]Link com um teste não nocivo
[REMOVIDO, TROJAN][/quote]
Aqui não funcionou o teste.
Unable to access jarfile.
Usando o IE7 e win XP.
O meu tb aconteceu a mesma coisa… no Internet Explorer
No Firefox o NOD 32 barrou o site…
Testei em uma máquina XP com JRE 1.6.0_19, tanto no Firefox 3.6.3 quanto no IE 8, e o applet não fez o que se propôs a fazer (abrir a calculadora).
[quote=andreiribas][quote=rogelgarcia]Link com um teste não nocivo
[REMOVIDO, TROJAN][/quote]
Aqui não funcionou o teste.
Unable to access jarfile.
Usando o IE7 e win XP.[/quote]
Aqui funcionou!
I7 e Firefox!
Abriu a calculadora do Windows!
Só não rodou no Chrome!
vlw
ah meu JRE é
[color=red] JRE 1.6.0_16
[/color]
:shock:
vlw
aqui abriu também, e detalhe, o nod reconheceu como malware.
Pra voces verem como a falha é grave…
E se ao invés de abrir a calculadora… fosse um format c:
:shock: