Java-haavoittuvuus jälleen ajankohtainen
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Java-haavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Se on sitten Javasta taas löytynyt tietoturva-aukko. Koskee siis kaikkia käyttöjärjestelmiä, joissa Java on käytössä. Päivitys OS X:n suhteen on tätä nykyä Oraclella, joten kaiken järjen mukaan päivitys tulee samanaikaisesti mäkeille ja muille, sitten kun tulee.
Lisää kerrotaan täällä: http://www.digitoday.fi/tietoturva/2012 ... 1236573/66
Tuossa uutisessa mainitaan myös linkki sivulle http://www.isjavaexploitable.com -se kertoo, että kyllähän se java minullakin on tällä hetkellä haavoittuva. Java kiinni siis selaimesta, ellei se jo ennestään sitä ole. Kunnes tämä on päivitetty. Jos java on disabloitu, silloin uhasta ei tarvitse niin välittää.
Javan ottaminen pois käytöstä: http://krebsonsecurity.com/how-to-unplu ... e-browser/
Englanninkielisiä sivuja, digitodayn uutista lukuunottamatta. Kyselkää täällä, mikäli se estää jotain tärkeää ymmärtämästä.
Syy: Otsikon hienosäätöä
-
- Viestit: 22819
- Liittynyt: 21.2.2004 klo 11.41
- Paikkakunta: Pori
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja MacFinn »
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Juu. Sama viesti täällä. Eli jos Java selaimesta on poistettu, ongelma (ennen seuraavaa päivitystä) ei haittaa. Sama koskee sitten tietysti muitakin Mäkin selaimia.MacFinn kirjoitti:Lainaus tuolta: Apple OS X Safari users don't panic. We can still detect your Java version, but it's not exploitable if you have disabled
-
- Viestit: 1
- Liittynyt: 28.8.2012 klo 23.04
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja välkkytipsu »
kysyy amatööri
-
- Viestit: 2748
- Liittynyt: 12.11.2004 klo 16.43
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja ER »
Chromessa on sellainen hieno ominaisuus, että voit säätää niin että tuollaiset Javan tyyppiset vipstaakit eivät käynnisty lainkaan itsestään vain ainoastaan klikkaamalla mikäli et ole antanut ko. sivustolle erityisiä oikeuksia.välkkytipsu kirjoitti:Miten poistan Javan Google Chrome -selaimesta?
kysyy amatööri
Asetukset -> alhaalta "näytä lisäasetukset" -> Sisältöasetukset -> Laajennukset -> Käynnistä napauttamalla.
Jos tuo ei riitä, niin Käynnistä napauttamalla -kohdan alla on "Poista laajennuksia käytöstä yksittäin..." mistä voi halutessaan poistaa käytöstä kokonaan sen Javan sun muuta.
-
- Viestit: 4725
- Liittynyt: 8.3.2004 klo 17.38
- Paikkakunta: Helsinki
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja spiidi78 »
Ja taitaa olla disabloituna ihan vakiona näissä uusissa järjestelmissä, ellei ole jostain syystä laittanut päälle.MacFinn kirjoitti:Lainaus tuolta: Apple OS X Safari users don't panic. We can still detect your Java version, but it's not exploitable if you have disabled
http://www.podfeet.com/wordpress/tutori ... in-chrome/välkkytipsu kirjoitti:Miten poistan Javan Google Chrome -selaimesta?
kysyy amatööri
Nuo ohjeet pätevät edelleen.
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja securapple »
Syynä tähän miltei ylimitoitettuun uutisointiin on, että JAVA:n seuraava tietoturvapäivitys tulee vasta lokakuussa, ja tätä hyväksikäyttöä käytetään jo nyt laajalti (kiinalaisten kohdistetuissa hyökkäyksissä, Gondad -hyökkäystyökalun osana sekä metasploit-työkalun osana).
Sinänsä it haavoittuvuus ei ole mikään puskuriylivuoto, vaan bugi itse javassa jolloin 1.7:ssa voidaan käyttää metodia SetSecurityManager joka saadaan kikkailemalla arvoon "null" jolloin JAVA hiekkalaatikkoa ei käytännössä ole.
Java 1.6:n asennus 1.7:n tilalle auttaa. Samoin esim. firefoxissa lisäosana saatava selaimen user-agentin vaihtomoduulilla voi yritää huijata saastettuja sivustoja.
Seurataan tilannetta.
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 2285
- Liittynyt: 17.2.2005 klo 18.59
- Paikkakunta: Tampere
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja jomppa »
6xiPod +iPhone 3GS (M32)+iPhone 8
iPad (V32, 7 gen) | AppleTV
Apple Watch S7
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Onko näin? Mulla on käytössä tuo Java 1.6 (1.6.0_33-b03-424), mutta linkkaamani testisivun mukaan siinäkin tuo haavoittuvuus on.securapple kirjoitti:Sinänsä it haavoittuvuus ei ole mikään puskuriylivuoto, vaan bugi itse javassa jolloin 1.7:ssa voidaan käyttää metodia SetSecurityManager joka saadaan kikkailemalla arvoon "null" jolloin JAVA hiekkalaatikkoa ei käytännössä ole.
Java 1.6:n asennus 1.7:n tilalle auttaa. Samoin esim. firefoxissa lisäosana saatava selaimen user-agentin vaihtomoduulilla voi yritää huijata saastettuja sivustoja.
Java siis kannattaa pitää kiinni selaimesta. Sampo-pankin käyttäjille tietysti tämä tietää lisäharmia (ellei ole käytössä iOS-laitetta, joille on pankkisovellus). Itselläni on koneessa Java-ympäristö, koska yksi käyttämäni ohjelma (ProjectX) sitä tarvitsee. Mutta, itse koneella se ei ole harmi, kunhan selain ei pääse sitä käsittelemään.
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja securapple »
Xanda teki tällaisen analyysin :
However, debugging the exploit in Java version 1.6 (jre6) it did not work: the Class.forName() object successfully instantiated the sun.awt.SunToolkit object, but then the use of its getField() method threw an exception. Instead, the method works fine in version 1.7 (jre7).
So, even if version 1.6 allows the instantiation of the sun.awt.SunToolkit object, it prevents it from accessing the private Statement.acc field, which seems correct. It seems that the bug is really in version 1.7, in the access to the Statement.acc. Or maybe none of the two is supposed to happen: sun.awt.SunToolkit must not be instantiated to restricted code, and the Statement.acc field must not be accessed by anyone.
Ja toisesta tarkemmasta analyysistä (jälkimmäinen lähde) :
Affected Versions
The com.sun.beans.finder.MethodFinder and com.sun.beans.finder.ClassFinder classes are available only since JDK 7
Näistä vedän johtopäätöksen, että vain JRE 7 on haavoittuva.
Lähteet :
http://scrammed.blogspot.fi/2012/08/ana ... -0day.html
http://immunityproducts.blogspot.com.ar ... -4681.html
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 107
- Liittynyt: 28.8.2009 klo 8.18
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja suppo84 »
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Securapplen väite pitää todella paikkansa, Javan versiossa 1.6 tuota haavoittuvuutta ei ole. Mustapekka-sivusto kertoo asiasta, http://www.mustapekka.fi/news/174/33/Va ... s-article/
Mistä sitten tietää, mikä Java-versio on koneessa? Lisäohjelmat -> Java-asetukset. Sieltä sen näkee. Jos myös on asentanut sen uusimman Oraclen Javan, 1.7:n, sille on hallintapaneeli Järjestelmäasetuksissa. Komentoriviä jos osaa käyttää, sitä kautta asia selviää kirjoittamalla "java -version". Mikäli se antaa tiedoksi 1.6, on turvassa, mikäli 1.7 niin silloin lienee viisainta asentaa vanhempi Javan versio tilalle. Mountain Lion testieni mukaan asentaa oletuksena tuon Applen toimittaman 1.6-version, mikäli Javalle on tarvetta. Se haavoittuvuusversio tulee Oraclen sivuilta.Musta Pekka kirjoitti:Valtaosa Mac-käyttäjistä on kuitenkin haavoittuvuudelta turvassa mikäli käyttäjä itse ei ole asentanut Javan tuoreinta 1.7-version betajulkaisua. Silloinkin riski on pieni, sillä valtaosa havaituista hyökkäyksistä on toistaiseksi toiminut vain Windows-ympäristössä.
Apple ei tunnetusti ole enää Mac OS X Lionin jälkeen toimittanut Maceissa Javaa esiasennettuna, vaan se on pitänyt ladata erikseen joko ohjelmiston päivityksen tai Applen sivujen kautta. Applen kautta saatava Java-versio on lisäksi 1.6.x -versiossa.
Mikäli Java on asennettu Maciisi etkä sitä tarvitse, on se turvallisuusasioiden kannalta syytä käydä kytkemässä pois päältä avaamalla Ohjelmat -> Lisäohjelmat -> Java-asetukset, ottamalla ruksi pois kohdasta "Ota sovelmaliitännäinen ja Web Start -ohjelmat käyttöön" ja sulkemalla asetusikkuna.
Mikäli OS X ehdottaa edellä mainittua Java-asetukset -ohjelmaa avattaessa Javan asentamista, ei Javaa ole asennettu koneellesi ja voit huoletta jättääkin sen asentamatta ellet tiedä sille olevan erityistä tarvetta.
Sijaintipaikka Javalle on /System/Library/Java/JavaVirtualMachines/
Itse olen ollut innokas päivittämään, joten minulla on tuolla hakemisto jdk1.7.0_06.jdk. Haavoittuvan version voi poistaa poistamalla tuon hakemiston, mikäli siellä on myös jdk1.6-alkuisia hakemistoja, ne ovat näitä turvallisia Javan versioita. Mikäli siellä ei ole mitään, koneella ei ole Javaa, ja mikäli sellaista syystä tai toisesta tarvitaan, lataukseseen tulee tuo 1.6-versio, ainakin siis omalla koneellani. Tuon löytää myös Applen sivuilta. Uudempaa, haavoittuivaa Javan versiota siellä ei ole.
Että näin, uusimmassa versiossa on aukko ja päivityksen ajankohta on avoin. Vanhemmassa versiossa ei ole, kerrankin näin päin. Automaattisten päivitysten kautta kuitenkaan ilmeisesti tuota uusinta versiota ei ole koneelle tullut, koska päivittyy Oraclen eikä Applen kautta.
Taidan downgreidata itse ja pitää silti Javan kiinni selaimesta.
Englanninkielisiä ohjeita:
http://osxdaily.com/2012/08/01/install- ... tain-lion/
http://reviews.cnet.com/8301-13727_7-57 ... -for-os-x/
Jos nuo ohjeet vaikuttavat heprealta, kannattaa ehkä kysyä täältä ennen kuin alkaa säätelemään, ellei ole koskaan tehnyt sen ihmeempiä tsekkejä tai kielen kanssa on ongelmia.
edit, lisätty linkit
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Vainoharhamoodi minussa sanoo, että kannattaa tehdä noin, koska ellei sitä tarvitse, miksi olla käytössä ja esillä? Eri asia, jos tarvitsee. "Javassa löytyy aina bugeja", kommentoi F-Securen Hyppönen taannoin.suppo84 kirjoitti:Nappasin tuon javan pois käytöstä safari selaimen asetuksista. Toisaalta onko tuolla virkaa kun tässä Snow Leopardissa on javan 1.6 versio jossa kyseistä haavoittuvutta ei ole. :-)
-
- Viestit: 58
- Liittynyt: 16.6.2009 klo 11.19
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja reekuli100 »
Tuli yksiä sun toisia haittoja. Esim. MTV3 -uutissivusta katosi mahdollisuus näyttää vain uutisten listaus, piruko noita pieniä kuvia jaksaa tihrustaa, että mitä siinä oikein. Parista keskustelupalstasta katosi myös ominaisuuksia, jne. Yksi meni osittain vilkuilukelvottomaksi.
Safari oli käytössä. Pistin Java:n takaisin kun näkyy olevan tuo 1.6.
Hiukan ihmettelen, jos Apple meinaa hylätä Java:n, Taitaa tulla hauskoja vaikeuksia. Tietysti voi olla joku kiertotie.
Jotenkin vain jäi käsitys tässä kokeilussa, että nettisivujen ylläpitäjät paikkailevat/ovat paikkailleet teelmiään Java:lla ja hankalaksi menee, ellei Java:a pysty käyttämään.
-
- Viestit: 22819
- Liittynyt: 21.2.2004 klo 11.41
- Paikkakunta: Pori
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja MacFinn »
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Ettei tosiaan olisi mennyt JavaScript pois päältä samalla? Nimi on hämäävä, sillä ei todellisuudessa tämän Java-javaympäristön kanssa ole mitään tekemistä. Kuva suojausasetuksista:reekuli100 kirjoitti:Tuli eilen napattua tuo Java pois päältä.
Tuli yksiä sun toisia haittoja. Esim. MTV3 -uutissivusta katosi mahdollisuus näyttää vain uutisten listaus, piruko noita pieniä kuvia jaksaa tihrustaa, että mitä siinä oikein. Parista keskustelupalstasta katosi myös ominaisuuksia, jne. Yksi meni osittain vilkuilukelvottomaksi.
Safari oli käytössä. Pistin Java:n takaisin kun näkyy olevan tuo 1.6.
-
- Viestit: 58
- Liittynyt: 16.6.2009 klo 11.19
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja reekuli100 »
Jaa. Aina jotain uutta oppii.MacFinn kirjoitti:Ootko nyt varma, ettet ottanut Javascriptiä pois päältä? Se ja Java itse eivät ole sama asia.
Niinhän sitä tietysti tuli tehtyä, kun joskus win-koneelle yritti virus jo hakutuloksen napautuksesta. Siellä oli joku scriptin pätkä piilossa.
Että ekaksi epäilin heti tuota javascriptiä. Täytyypä huvikseen "opiskella".
-
- Viestit: 8602
- Liittynyt: 27.7.2007 klo 16.10
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja Sherukka »
-
- Viestit: 11
- Liittynyt: 22.4.2012 klo 12.41
- Paikkakunta: Helsinki
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja jytuo »
Apple siis periaatteessa saa sen pian ellei ole jo saanutkin.
Tosin Applen tarjoama javan 6-sarja ei ollut ainakaan vielä haavoittuvainen muutenkaan.
Javan poisto käytöstä on silti suositeltavaa ja helppo tehdä Safariin.
Chromessahan noita voi säädellä chrome://settings/content -kohdassa.
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja securapple »
Tämä java-haavoittuvuus on lisätty pikavauhdilla todella moneen hyökkäystyökaluun, ja netissä alkaa olemaan jo melkoinen määrä sivustoja joilta voi tämän haavoittuvuuden kautta saada ikävää lastia. Oraclen oli pakko tehdä päivitys poikkeuksellisessa aikataulussa. Hyvä näin.
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja securapple »
Taas on yksi JAVA zero-day havaittu, mutta ei raportoitu pahiksille. Korjaamattomia haavoittuvuuksia odottaa jonossa ainakin 29 kpl!
Nämä JAVA-ongelmat eivät heti lähitulevaisuudessa lopu...
-Securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
- Viestit: 1884
- Liittynyt: 20.6.2010 klo 17.58
Re: Javahaavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja apple_fani »
Sanoisin, että eivät lopu koskaansecurapple kirjoitti: Nämä JAVA-ongelmat eivät heti lähitulevaisuudessa lopu...
-
- Viestit: 2060
- Liittynyt: 25.12.2009 klo 13.55
Re: Java-haavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja paulaw »
Kääntäkääs joku natiivi OSX-versio ProjectX:stä niin ratkon javaongelmat laittamalla terminaaliin "sudo rm -rf /System/Library/Java/JavaVirtualMachines/*" :p
No toivottavasti tuohonkin saadaan jo korjaus. Mutta aiemmin esitetyt turvaohjeet (älä käytä selaimessa ja älä edes asenna ellet tarvitse) pätee edelleen.
-
- Viestit: 1884
- Liittynyt: 20.6.2010 klo 17.58
Re: Java-haavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja apple_fani »
-
- Viestit: 278
- Liittynyt: 2.8.2008 klo 19.19
Re: Java-haavoittuvuus jälleen ajankohtainen
Viesti Kirjoittaja Omppu-ukko »
Pitäisikö päivitys saada koneelle Omppu-valikosta ohjelmiston päivityksellä? Ei ainakaan omalle koneelle sitä ole vielä tuolta kautta tarjolla (OS X Lion 10.7.4/MacBook). Koneessani asennettuna Javasta versio 1.6.xapple_fani kirjoitti:Nyt on Macille [OS X 10.6, 10.7 ja 10.8] joku korjaus tullut: http://www.macrumors.com/2012/09/05/app ... -and-10-8/
iPad 2 3G iOS 8
Palaa sivulle “Tietoturva ja varmuuskopiointi”
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit