Új hozzászólás Aktív témák
-
#44
attila9988
őstag
floatr
#26
attila9988
őstag
Ráadásul egy rakat ilyen sokáig még akkor is foltozatlan maradt, amikor kiderült a hiba, ezek szerint akkor mindezeknek pusztulni a kéne
Hát ez az... ezért írtam hogy ha ez lenne a mérce, akkor már windows -t sem használna senki ezer éve... sőt, ki kellene kukázni az összes számítógépet, és akkor lenne tuti biztonságos papír alapú ügyintézés.... működött az is régen...
-
bambano
titán
nem, nem hitt semmit, tudja, mi az a dalvik.
az az állítás, hogy a gépek többségén windows fut, nem igaz. a desktopok többségén fut windows, a desktopokra leszűkíteni a poszt állításait abból a téves feltételezésből indul ki, hogy a jelentés csak a desktopokon futó böngészők sebezhetőségeiről szól, pedig nem, rá kell klikkelni.
-
-
modeller
aktív tag
Ne vicceljünk már ezzel. Ennyi erővel minden szerver tűzfal mögött van, meg DMZ-ben és csak másik szerver hivja és hasonlók. Tökmindegy. Ilyenkor szokták még előhozni, hogy "ó csak local exploit, távolról nem lehet kihasználni". Aztán nagy szemekkel néznek, amikor egy önmagában bagatel remote exploit-al kombinálva szanaszét törnek mindent.
Ezen nincs mit szépiteni, a java hibák a szerveren használt java-s dolgokat is érintik.
"szintén ritka, hogy problémás júzerek támadnának."
Ezt egy biztonsági szakértő meghallja, sirva futna el. Nem önmagában kell vizsgálni a hibákat, hanem rendszerszinten, ahol az apróbb hibák hatványozódnak és a végén átjáróház az egész rendszer.
" Elég gáz ez is, de JRE/plugin probléma, nem a "nyelvé"."
De hát ugyanazt a JRE-t használják szerveren is ami ezer sebből vérzik. A "nyelv" szón meg felesleges pörögni, mindenki tudja, hogy miről van szó, mint irtam .net hiba esetén sem a nyelv a hibás és php hiba esetén sem a nyelv a hibás, hanem a framework.
-
modeller
aktív tag
Ez egy nagyon durva java hiba, mind kliens mind szerver oldalon működött, simán ki lehet lépni vele a sandbox-ból és bármit művelni a gépen. Ha a szerver oldali kódod használta az MBeanInstantiator-t és a runtime-od a lyukas szériából volt (mivel 0day exploit, ezért mindenkinek az volt) akkor lyukas is lett tőle az alkalmazásod.
Szerintem amiket te kliens oldali hibáknak gondolsz annak nagyon nagy százaléka pont ugyanúgy érint szerveroldalon is és ilyenből végtelen mennyiségű van. Más kérdés, hogy szerveren általában jobban felügyelve van a környezet, a futatott dolgok, de ettől még a java hibák ott is nagyon súlyosak. Aki nem patcheli folyamatosan a java-t szerveren, mert elhiszi, hogy az a kliens oldalt meg a böngészőket érinti az konkrétan hülye.
-
modeller
aktív tag
Messze nem csak a böngésző pluginról van szó. Keress rá a java-s CVE-kre, csak a JRE-t több mint 130 hiba érintette tavaly. Ezek a hibák nem csak a böngészőből használhatók ki, hanem desktopos alkalmazásokból és persze szerver oldalon is, ami JRE-t használ.
"Nem a java nyelvről van szó, hanem a böngésző pluginről."
Igen, a .net hibák, meg nem a .net nyelvet érintik, hanem csak egy adott .net framework-öt.
A helyzet az, hogy valóban iszonyat lyukas a java. Nálunk az összes gépről tiltva van, kivéve aki ányk-zik, mert ott sajnos muszáj ezt a hulladékot használni. Egyébként érdemes rákeresni, épp nemrég lett használhatatlan több bank java-s ebankja, az ügyfélkapus filefeltöltés és még sok más egy új java frissitéstől. Vissza kellett rakni egy még lyukasabb verziót az archiv letöltésekből. Vicc az egész.
Új hozzászólás Aktív témák
Hirdetés
- ÁRGARANCIA!Épített KomPhone i5 13400F 32/64GB RAM RTX 4060 Ti 8GB GAMER PC termékbeszámítással
- Apple iPhone 14 Pro, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! Fujitsu LifeBook U757 - i3-7GEN I 16GB I 256SSD I 15,6" FHD I HDMI I Cam I W11 I Garancia!
- KATONAI ÜTÉSÁLLÓ!!! Getac S410 i5-6300u, G3: i5-8365u, G4: i5-1145G7
- MacBook Air 15 M3 8 / 256GB dobozos 12 hónap garancia
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest