找回密碼
 註冊
樓主: beckham3

立即行动:Java程式平台的嚴重漏洞

   火.. [複製鏈接]
發表於 2013-3-2 20:55:49 | 顯示全部樓層
好好就現在!
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-2 22:54:08 | 顯示全部樓層
回應 馬後砲 #121 的帖子

其實我都唔係d乜野專家,Java個Core係點我都唔識 只不過因工作關係,樣樣都要知d咁啫
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-4 23:59:31 | 顯示全部樓層

有樣我唔系太明,.net 其實都好大權限,
除左早年 ver. 1 有類似vulnerability之外,
好似一路都未出現過問題?

其他,例如python又系好似冇乜問題?
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-6 00:15:18 | 顯示全部樓層
回應 馬後砲 #124 的帖子

呢個問題真係5知點答你。我對Java嘅Core(核心)都唔多清楚,但係以下係我嘅淺見和愚見,可以交流下同討論下,希望d高手ching唔好見笑

我未做過任何python嘅project, 所以我唔知,但係大約2002/03年,我有個project, 係用.NET 1.1做,其中有一part係"remote" access其他員工嘅desktop嘅webcam。 其實呢個已經類似一d病毒,可以遠距離"搖控"某種accessories (eg., webcam),我可以任意開port嚟transmit data。基本上到vista之後先至有個alert,但如果user click咗"Allow"之後,又係任意攞data。就算之後update咗.NET3.0之後,我個Application仍然係work嘅。

我估最主要係.NET同Java都有同一群嘅users, 就係d Desktop Application Developers。 所以,MS同Sun不可能完全唔比developers去開發呢d同周邊介面有communications嘅application。 但問題出現係呢度,有相當一部份周邊介面都會開port去communicate......咁有d pk就可以利用呢個「無法彌補」的漏洞,做d令人「意想不到」嘅產品。

講到呢度,假設我所講嘅係正確的話,咁點解又係Java有問題呢?我諗最主要係Java嘅Popularity。響Internet嘅世界,有一定數量嘅網頁係Java Applet寫,而Java Applet同Java Script唔同,基本上Applet係一個「全功能」嘅Executable,而只不過係要用到Internet Browser運行的online application。

又引伸到Android。因為Android Apps用Java嚟develop,而Java又可以develop出功能強大、冇限制嘅Apps,所以如果由一d不出名,未經審查過嘅channels嚟download的話,都幾危險!

以上內容全蜀個人淺見、推測,如有錯誤,敬請各位指點!
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-6 10:13:23 | 顯示全部樓層
噚晚太累,漏咗d嘢,想補充一下。

Java有個權力,就係可以自動安裝其他嘅"plug-in" (或者application),即係話,我可以寫個Applet,當user入咗我個用Java Applet寫嘅網頁,我就可以利用user對Java嘅授權, 安裝其他嘅application/plug-in,去讀取或transfer資訊,什至capture user嘅所有actions!

.NET其實亦差唔多,即係話,佢地係利用咗OS對platform layer嘅授權。原理就好似係大陸上唔到141網站,但有d ching就用VPN繞過大陸嘅firewall,就可以上到啦。
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-6 23:31:44 | 顯示全部樓層
littlewildcat 發表於 2013-3-6 10:13
噚晚太累,漏咗d嘢,想補充一下。

Java有個權力,就係可以自動安裝其他嘅"plug-in" (或者application),即 ...

嘩,呢樣就真系危險啦!
回覆 讚好 不讚 使用道具

舉報

 樓主| 發表於 2013-3-7 23:59:19 | 顯示全部樓層
回應 littlewildcat #125 的帖子

不是Java Applet 具有 Sand Box 的安全機制, 讓它無法存取本機系統上的檔案,也無法對外進行連線?
除非这是个signed applet.....

Note: 我是Java门外汉!
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-8 09:41:59 | 顯示全部樓層
beckham3 發表於 2013-3-7 23:59
回應 littlewildcat #125 的帖子

不是Java Applet 具有 Sand Box 的安全機制, 讓它無法存取本機系統上的檔 ...

我都唔系咁識,但似乎Java applet 系做得到
web access, even at hardware level.
是否只有新版本做到就唔系咁知
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-12 00:06:38 | 顯示全部樓層
The key vulnerability lies on the flaw of  security control implementation in Java which now become a Business As Ususal attrack-patching-attrack circle. The only clean way is to disable Java plugin unless you have to use for Jackey club or gov website.

Oracle has been blamed for long times that no putting serious attention to java security vulnerability issues since it acquired java from Sun micro   
回覆 讚好 不讚 使用道具

舉報

發表於 2013-3-12 09:29:24 | 顯示全部樓層
littlepants9394 發表於 2013-3-12 00:06
The key vulnerability lies on the flaw of  security control implementation in Java which now become  ...

security control -- 是否implement 又好似真系唔多關佢oracle事
舉例:
起間屋,屋內有個工作間,有各種工具,
工作間有門,得把鎖,用工作間既人之中,
有人鍾意方便,唔上鎖,然後有賊佬入左去,
攞左的工具,例如刀,去打刼屋主人,咁樣講,
唔可以話系起工作間既人錯。
因為屋主覺得唔安全可以加鎖。
回覆 讚好 不讚 使用道具

舉報

您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

Archiver|聯絡我們|141華人社區

GMT+8, 2024-11-21 18:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回覆 返回頂部 返回列表