Vou trancar o tópico pq o código está gerando transtornos para o pessoal. Aqui acusou no anti-vírus também.
Atendendo a pedidos, desbloqueei o tópico e removi todos os links acima.
[quote=rogelgarcia]A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe![/quote]
Seria complicado se até os produtos que eles vendem fosse assim. Para abaixar a poeira vamos considerar que isso só rola com o Java, porque ele não é vendido!
ahsuahusha
Atualização daqui 3 meses ?
Humm… Entendi, a Oracle deu um prazo de 3 meses para pensar quantos cobrar pela a atualização, do jeito que as coisas andam eu não dúvido nada.
Olá
Seria bom alguém repetir estes testes com a versão 20 lançada hoje http://java.sun.com/javase/downloads/widget/jdk6.jsp
Release notes em http://java.sun.com/javase/6/webnotes/6u20.html
[]s
Luca
Uai… pode ser então… que a Oracle resolveu se mecher…
Soltou uma versão nova…
Só três meses?
É o tipo de atitude que faz qualquer um chorar de raiva.
Alguém tem mais informação sobre o código bugado?
A Sun que eu saiba acabou e Java segundo todos falam é robusto e seguro, logo se vê como vai ser o compromisso da Oracle com o Java, cai por terra o termo seguro depois dessa.
NuncaAAAAA
vlw
Update 20 corrigiu a falha, aqui não deu problema mais 
Creio que isso cala os profetas do caos que mal podem esperar uma atualizaçao de segurança.
Acho que o pessoal esqueceu que o IE já ficou 300 dias no ano com pelo menos uma falha de segurança grave sem correção, dentre outros softwares.
[quote=marcosalex]
Creio que isso cala os profetas do caos que mal podem esperar uma atualizaçao de segurança.
Acho que o pessoal esqueceu que o IE já ficou 300 dias no ano com pelo menos uma falha de segurança grave sem correção, dentre outros softwares. [/quote]
Mas o problema é que a Oracle falou que não iria corrigir, mudaram de ideia…
E essa falha é uma das mais graves que já vi… basta o cara entrar no site… nao precisa clicar nada… aceitar nada… pronto… já foi infectado …
E a infecçao vai de um simples abrir calculadora… a um format c:
E é bem fácil explorar essa falha
[quote=rogelgarcia][quote=marcosalex]
Creio que isso cala os profetas do caos que mal podem esperar uma atualizaçao de segurança.
Acho que o pessoal esqueceu que o IE já ficou 300 dias no ano com pelo menos uma falha de segurança grave sem correção, dentre outros softwares. [/quote]
Mas o problema é que a Oracle falou que não iria corrigir, mudaram de ideia…
E essa falha é uma das mais graves que já vi… basta o cara entrar no site… nao precisa clicar nada… aceitar nada… pronto… já foi infectado …
E a infecçao vai de um simples abrir calculadora… a um format c:
E é bem fácil explorar essa falha[/quote]
WTF? Abre um format c: ?
Mais tipo o format c: não funcionaria pois a unidade estaria em uso, correto?
[quote=LucasAdri07]
WTF? Abre um format c:?
Mais tipo o format c: não funcionaria pois a unidade estaria em uso correto?[/quote]
Correto…
Mas com um trabalho mais elaborado… daria pra fazer
[quote=rogelgarcia][quote=LucasAdri07]
WTF? Abre um format c:?
Mais tipo o format c: não funcionaria pois a unidade estaria em uso correto?[/quote]
Correto…
Mas com um trabalho mais elaborado… daria pra fazer[/quote]
Justamente pelos transtornos que essa falha poderia causar (e como ja foi dito, seriam grandes transtornos) a Oracle decidiu atualizar.
Não sei se alguem ja percebeu, mas o a microsoft descobre dezenas de bug do Windows por dia, por isso quase todo dia tem uma atualização.
Conheço softwares open source que estão mais de 5 anos com vulnerabilidade… o problema é que a grande maioria das vulnerabilidades não são divulgadas e logo não corrigidas…
A linguagem Java não permite overflows, pois ela não permite acesso direto de memória… o conceito funciona… mas as implementações são feitas em C/C++… logo não é a linguagem que é insegura, e sim a aplicação…
Seria a mesma coisa que invadir um Windows Host rodando o WMware com Windows Slave… teoricamente é impossível… mas vai que o próprio WMware esteja com problema…
E esse problema do Java nem é overflow… me parece que o problema é similar daquele problema do protocolo HTTP no qual com um ? podia simular outros sites… e depois foi removido da especificação… pois muitas pessoas estavam usando isso para forjar sites…
Bom dia,
ViniGodoy : { Vou trancar o tópico pq o código está gerando transtornos para o pessoal.
.............
Atendendo a pedidos, desbloqueei o tópico e removi todos os links acima.
}
[b]Se o Instituto Pasteur estivesse com medo de vírus ou que era de nós , nossa senhora !!![/b]
Diante de um problema, não podemos esconder a realidade. E ORACLE entendeu muito bém isso.
Especialmente porque este erro é um [b]segredo aberto[/b], em qualquer fórum ele està explicado. E em todas as linguas ...
Tests com o JDK 1.6.0_20 :
Depois de ter instalado jdk1.6.0_20 e o JRE 1.6.0_20 associado :
Eu testei no Win XP :
—> Mozilla 1.7.13 : Resultado : OK !
—> Mozilla SeaMonkey 1.1.16 : Resultado : OK !
—> Mozilla Firefox 3.6.3 : Resultado : OK !
—> Google Chrome 4.1.249.1045 : Resultado : OK !
—> Safari 4.0.5 : Resultado : OK !
—> Opera 10.51 : Resultado : OK ! Nota : OPERA é um excelente navegador !!
—> IE x não utiliso esta porcar… !
Agora que tudo voltou ao normal, até a próxima vez.
Para aqueles que estão curiosos, aqui está a história :
http://jxme.online.fr/._java/BUG_JAVA_JDT.txt
Abraços
Na minha opinião nenhuma informação ou link deveria ser excluído… pela minha experiência falhas amplamente divulgadas são as que são corrigidas mais rápidas…
Toda falha grave deveria ser divulgada, inclusive mostrando como explorar… falta de conhecimento ou ignorância é que é prejudicial…
Eu já vi meios de invadir que por ignorância ou falta de conhecimento julgava impossível de fazer… mas quando a informação é posta ao público ou mostrada é que se percebe o quão grave é a coisa… tem gente que pensa que anti-vírus ou firewall serve para barrar trojans… enquanto que na verdade só barra aplicações de brincadeirinhas… tipo NetBus ou BackOrifice… as verdadeiras aplicações não são pegas, pois nem se sabe a assinatura dela e poucas pessoas conhecem…
O pior são os leigos que falam que o Linux/Unix não pega Vírus/Trojan… 2/3 dias atrás vi(na TV Cultura) um cara totalmente leigo se dizendo entendido do assunto e falando uma asneira atrás da outra… imagine quantas mil pessoas vão aprender errado vendo um leigo falando na TV…
Tem gente que pensa que Windows 3.11/95/98 usa arquitetura de um Windows NT… e pensa que não existe prioridade de Threads e não existe conceito de usuários Root…
Vale lembrar que os primeiros Vírus e Trojans surgiram no mundo Unix… acontece que esses sistemas são usados em MainFrames de Bancos, Telecom, Energia Elétrica e etc… e não é um usuário comum que fica usando… e sim pessoas altamente capacitadas… se alguém aqui já mexeu em alguns desses sistemas vai ver que é uma burocracia fenomenal para ter acesso físico aos mesmos… fora a segurança física envolvida…
É igual mudar um menu no Windows hoje em dia… tem gente que pensa que é só meter código C/C++ e pronto… mas na verdade passa por uma 10 áreas distintas para se mudar um simples botão e demora meses…
fiz pra testar aqui em casa e nao deu certo, eu mudei para
var u = “http: -J-jar -J\\meusite\calc.jar none”;
e da um error: "unable to access jarfile: \meusite\calc.jar "
a vulnerabilidade ja foi corrigida ?
java 1.6.0_19.