r   e   k   l   a   m   a
r   e   k   l   a   m   a

9 miesięcy dziury w Javie na Mac OS X

Strona główna Aktualności

W systemie Mac OS X nadal występuje niezałatana groźna dziura w wirtualnej maszynie Javy, która została odkryta w sierpniu ubiegłego roku.

Luka była obecna w OpenJDK, GIJ, icedtea oraz Sun JRE ale została załatana. Sun zrobił to w grudniu. Jedyną implementacją Javy, która do dziś nie doczekała się łatki jest ta opracowana przez Apple. Nie ujęto jej nawet w niedawno wydanej aktualizacji o numerze 10.5.7. Dziura jest poważna gdyż umożliwia wykonanie dowolnego kodu za pomocą przeglądarki obsługującej Javę. Ponadto exploit może działać niezależnie od tego jaką przeglądarkę lub system operacyjny używa ofiara. Błąd w Javie polega na tym, że deserializacja obiektu klasy sun.util.calendar.ZoneInfo wykonywana jest w trybie uprzywilejowanym przy czym można stworzyć własny obiekt, który będzie udawał właśnie ZoneInfo. Ponieważ plugin Javy alokuje pamięć z prawami do odczytu, zapisu i wykonania atakujący może obejść zabezpieczenia ASLR i DEP.

Użytkownicy, którzy chcą sprawdzić czy ich Java jest podatna na opisaną lukę mogą to zrobić na stronie zawierającej kod typu proof of concept.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.