由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Programming版 - 美国政府因安全问题要求禁用Java软件
相关主题
有没有人遇到过这样的问题?把Java和浏览器整合可以成为很大的热点
Apple's anti-malware blacklists Java 7 plug-in againC++缺少了哪些开源的轮子?
我也来说说web技术吧Goodbug再来赌一把1M/s计数器如何?Java实现
java调用c++,我看还是socket tcp比较好更多的关于Java GC
java其实内部也一直都有争论问java applet的问题
为啥没人吊.net c#语言?网站偷取计算机用户名和电子信箱地址
做并发,Go语言自带和Java用库来搞到底有多大区别呀?javascript是要统一江湖的
minecraft卖价20亿美元请推荐一本入门C#的书
相关话题的讨论汇总
话题: java话题: windows话题: security话题: 软件话题: 漏洞
进入Programming版参与讨论
1 (共1页)
n*w
发帖数: 3393
1
http://www.mitbbs.com/news_wenzhang/ScitechNews/31217491.html
http://www.informationweek.com/security/attacks/java-under-atta
http://www.computing.co.uk/ctg/news/2235771/java-is-a-mess-says
编者按:据国外媒体报道,美国国土安全部要求计算机用户禁用甲骨文的Java软件,在
此之前,计算机安全专家已对用该软件上网浏览网页的消费者和企业发出警告。Mitbbs
.com
黑客已经找到了如何利用Java软件安装恶意软件,从而使他们能实施各种犯罪行为,包
括盗窃身份证号码及利用被感染的计算机攻击其它网站等。Mitbbs.com
美国国土安全部计算机应急准备小组周四晚些时候在其网站上发布一份通告称:“目前
我们还没有找到该问题切实可行的解决方案。”Mitbbs.com
这份通告表示:“Java新的和之前的漏洞已成为黑客广泛的攻击目标,Java新的漏洞很
容易被发现。为了防范Java这一新的及未来的漏洞,计算用户应在其Web浏览器中禁用
Java插件。”Mitbbs.com
甲骨文周五拒绝对美国政府的警告发表评论。Mitbbs.com
Java是一种计算机语言,它使程序员能利用一组代码,编写出几乎能运行在任何类型计
算机的软件,包括搭载微软Windows操作系统、苹果OS X和Linux操作系统的计算机。
Mitbbs.com
在计算机安全专家周四发出Java软件发现新漏洞的警告后,美国政府也向计算机用户发
出了警告。Mitbbs.com
美国政府部门很少由于安全漏洞的原因,建议计算机用户完全禁用某种软件,特别是像
Java这样被广泛使用的软件。他们通常建议计算机用户采取一定措施,以减轻被攻击的
风险,同时软件生产商着手进行软件升级;或直到软件生产商对存在漏洞软件的升级做
好准备后,才向外界公布新发现的安全问题。
n*w
发帖数: 3393
2
its-time-to-rewrite-java-from-scratch-security-expert-says
http://www.pcworld.com/article/2025160/its-time-to-rewrite-java
n*w
发帖数: 3393
3
是不是只有Oracle的jvm有这个问题?
g*****g
发帖数: 34805
4
你又不写Java,关心这个干啥?Java 6不受影响,Java 7最新版本fix了这个问题。还
不放心,把你机器上的Java卸了就是。windows几乎每周都打安全补丁,也没见你那么
激动倒是。
n*w
发帖数: 3393
5
我到没有激动。你好像是。
你怎么不知道我不写java?
昨天的新闻。今天修复了?Oracle有这个速度还好了。

【在 g*****g 的大作中提到】
: 你又不写Java,关心这个干啥?Java 6不受影响,Java 7最新版本fix了这个问题。还
: 不放心,把你机器上的Java卸了就是。windows几乎每周都打安全补丁,也没见你那么
: 激动倒是。
d**********x
发帖数: 4083
6
这个问题影响的不是写java的
而是在browser里面用java的用户,不行关心一下吗
Java 7的最新版本修复了这个问题——这是谁说的?请给个链接

【在 g*****g 的大作中提到】
: 你又不写Java,关心这个干啥?Java 6不受影响,Java 7最新版本fix了这个问题。还
: 不放心,把你机器上的Java卸了就是。windows几乎每周都打安全补丁,也没见你那么
: 激动倒是。
m*******l
发帖数: 12782
7
这个翻译好像不准
应该是国土居"建议" 用户 disable

Mitbbs

【在 n*w 的大作中提到】
: http://www.mitbbs.com/news_wenzhang/ScitechNews/31217491.html
: http://www.informationweek.com/security/attacks/java-under-atta
: http://www.computing.co.uk/ctg/news/2235771/java-is-a-mess-says
: 编者按:据国外媒体报道,美国国土安全部要求计算机用户禁用甲骨文的Java软件,在
: 此之前,计算机安全专家已对用该软件上网浏览网页的消费者和企业发出警告。Mitbbs
: .com
: 黑客已经找到了如何利用Java软件安装恶意软件,从而使他们能实施各种犯罪行为,包
: 括盗窃身份证号码及利用被感染的计算机攻击其它网站等。Mitbbs.com
: 美国国土安全部计算机应急准备小组周四晚些时候在其网站上发布一份通告称:“目前
: 我们还没有找到该问题切实可行的解决方案。”Mitbbs.com
n*w
发帖数: 3393
8
windows, linux, Chrome, Firefox等所有复杂一点的软件都常打安全补丁。
但这两年常上新闻的经常是adobe flash,adobe reader,Java等

【在 d**********x 的大作中提到】
: 这个问题影响的不是写java的
: 而是在browser里面用java的用户,不行关心一下吗
: Java 7的最新版本修复了这个问题——这是谁说的?请给个链接
m*******l
发帖数: 12782
9
境外势力在捣鬼

【在 n*w 的大作中提到】
: windows, linux, Chrome, Firefox等所有复杂一点的软件都常打安全补丁。
: 但这两年常上新闻的经常是adobe flash,adobe reader,Java等
n*w
发帖数: 3393
10
informationWeek的那篇头标题是:Java Under Attack Again, Disable Now
第一句是:Security experts have a message for all businesses: Disable Java
now, and keep it disabled.

【在 m*******l 的大作中提到】
: 这个翻译好像不准
: 应该是国土居"建议" 用户 disable
:
: Mitbbs
相关主题
为啥没人吊.net c#语言?把Java和浏览器整合可以成为很大的热点
做并发,Go语言自带和Java用库来搞到底有多大区别呀?C++缺少了哪些开源的轮子?
minecraft卖价20亿美元Goodbug再来赌一把1M/s计数器如何?Java实现
进入Programming版参与讨论
m*******l
发帖数: 12782
11
国土局没有这么说,
只是警告,建议

【在 n*w 的大作中提到】
: informationWeek的那篇头标题是:Java Under Attack Again, Disable Now
: 第一句是:Security experts have a message for all businesses: Disable Java
: now, and keep it disabled.
m*******l
发帖数: 12782
12
it(patch) will be available on Tuesday

【在 d**********x 的大作中提到】
: 这个问题影响的不是写java的
: 而是在browser里面用java的用户,不行关心一下吗
: Java 7的最新版本修复了这个问题——这是谁说的?请给个链接
n*w
发帖数: 3393
13
木有看国土局的英文原文。从各个网站的反应看来是影响较大,已有网站被感染。
http://vrt-blog.snort.org/2013/01/generic-exploit-kit-detection
“UPDATE, 1/11/13 @ 10:11 a.m.: Sourcefire's FireAMP group also released an
awesome screenshot of their product's infection trajectory when working with
a live copy of this attack, which you can see below:”

【在 m*******l 的大作中提到】
: 国土局没有这么说,
: 只是警告,建议
d****i
发帖数: 4809
14
这个应该就是运行在浏览器里面的Java Applet Plugin,与其他运行在server端的Java
没有关系,Firefox,Chrome等浏览器已经自动关闭了Java Plugin功能。

【在 n*w 的大作中提到】
: 我到没有激动。你好像是。
: 你怎么不知道我不写java?
: 昨天的新闻。今天修复了?Oracle有这个速度还好了。
n*w
发帖数: 3393
15
应该是browser里的applet。
这个帖子里有较详细的介绍。还有一video演示。我暂时不disable java。不访问偏僻
网站,如果系统无端要管理员权限不给。等到Oracle出patch吧。
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-i
http://www.youtube.com/watch?feature=player_embedded&v=6U4VThNf

Java

【在 d****i 的大作中提到】
: 这个应该就是运行在浏览器里面的Java Applet Plugin,与其他运行在server端的Java
: 没有关系,Firefox,Chrome等浏览器已经自动关闭了Java Plugin功能。
S*********g
发帖数: 5298
16
一听到java就knee jerk,别总活在你自己的美好世界里
你知道是啥问题吗?写不写java都一样会被攻击,不会因为你做鸵鸟就不会受攻击
oracle自己都说没修复,难不成在你梦境里给修好了?

【在 g*****g 的大作中提到】
: 你又不写Java,关心这个干啥?Java 6不受影响,Java 7最新版本fix了这个问题。还
: 不放心,把你机器上的Java卸了就是。windows几乎每周都打安全补丁,也没见你那么
: 激动倒是。
m*******l
发帖数: 12782
17
修个patch,对大牛来说,纷纷钟的事
small cake

【在 S*********g 的大作中提到】
: 一听到java就knee jerk,别总活在你自己的美好世界里
: 你知道是啥问题吗?写不写java都一样会被攻击,不会因为你做鸵鸟就不会受攻击
: oracle自己都说没修复,难不成在你梦境里给修好了?
n*w
发帖数: 3393
18
看什么样的洞,怎么修吧。如果只是堵一堵漏洞相对容易。想尽量根除还是有点难。
its-time-to-rewrite-java-from-scratch-security-expert-says
http://www.pcworld.com/article/2025160/its-time-to-rewrite-java

【在 m*******l 的大作中提到】
: 修个patch,对大牛来说,纷纷钟的事
: small cake
b***i
发帖数: 3043
19
应该是一个编程错误导致的,原来6.37就没问题。buildingweb版上有个网站,我转过
来,就是应用一个漏洞,6.37就exception,以前的就出问题。
记得2002年的时候,windows漏洞特别多,动不动就弹出一个窗口,难道windows就不用
了?

【在 n*w 的大作中提到】
: 看什么样的洞,怎么修吧。如果只是堵一堵漏洞相对容易。想尽量根除还是有点难。
: its-time-to-rewrite-java-from-scratch-security-expert-says
: http://www.pcworld.com/article/2025160/its-time-to-rewrite-java
t*****y
发帖数: 17
20
http://news.cnet.com/8301-1009_3-57563730-83/oracle-releases-so

【在 S*********g 的大作中提到】
: 一听到java就knee jerk,别总活在你自己的美好世界里
: 你知道是啥问题吗?写不写java都一样会被攻击,不会因为你做鸵鸟就不会受攻击
: oracle自己都说没修复,难不成在你梦境里给修好了?
相关主题
更多的关于Java GCjavascript是要统一江湖的
问java applet的问题请推荐一本入门C#的书
网站偷取计算机用户名和电子信箱地址Linux scheduler (转载)
进入Programming版参与讨论
N********n
发帖数: 8363
21
hohoho
N********n
发帖数: 8363
22

Oracle is not MSFT. They are notoriously slow to fix security holes.

【在 b***i 的大作中提到】
: 应该是一个编程错误导致的,原来6.37就没问题。buildingweb版上有个网站,我转过
: 来,就是应用一个漏洞,6.37就exception,以前的就出问题。
: 记得2002年的时候,windows漏洞特别多,动不动就弹出一个窗口,难道windows就不用
: 了?
g*****g
发帖数: 34805
23
Java is open sourced and has high visibility. Usually a developer will find
out security holes first. Windows, on the other hand, is close-sourced.
People don't know the issue exists until they are under attack. And then, M$
developers will secretly fix the issue. It could take months for them to
fix it and we just don't know.
Is Windows immunized from security breaches? The about weekly security
update
says enough.

【在 N********n 的大作中提到】
:
: Oracle is not MSFT. They are notoriously slow to fix security holes.
N********n
发帖数: 8363
24

"High visibility" is simply a myth. The truth is no one has that
much free time checking someone else' code. People don't even
have time to cover own code so how much time would they have for
someone else's?
The code can be as open as possible but if no one bothers checking
it then it's no more visible than the close source.

【在 g*****g 的大作中提到】
: Java is open sourced and has high visibility. Usually a developer will find
: out security holes first. Windows, on the other hand, is close-sourced.
: People don't know the issue exists until they are under attack. And then, M$
: developers will secretly fix the issue. It could take months for them to
: fix it and we just don't know.
: Is Windows immunized from security breaches? The about weekly security
: update
: says enough.
d**********x
发帖数: 4083
25
sunday afternoon才出来的patch,俺们当时确实没想到

【在 t*****y 的大作中提到】
: http://news.cnet.com/8301-1009_3-57563730-83/oracle-releases-so
S*********g
发帖数: 5298
26
你去看goodbug是哪天说修复了的

【在 t*****y 的大作中提到】
: http://news.cnet.com/8301-1009_3-57563730-83/oracle-releases-so
n*w
发帖数: 3393
27
zero-day attack是很可怕的。
d**********x
发帖数: 4083
28
it happens everyday. many security vulnerabilities are being traded
underground right now, and large number of systems are being exploited right
now.
the only thing we can do is to keep most sensitive data offline. do not make
silly duplicates online just for convience
any system can be exploited someday. never trust computer security, that's a
big joke....
i mean, OFFLINE, not only off internet, but also off your computer.
i understand the benefits of digitalization and redundancy. So offline hard
drives with good encryption will be even better than paperworks.

【在 n*w 的大作中提到】
: zero-day attack是很可怕的。
l*********s
发帖数: 5409
29
re, my wife's office pc got virus infection within a month after upgrading
to win7.
This is probably a bad coincidence, or even an indication that the
popularity of win7 has surpassed WinXP among hackers. Nevertheless, it is a
real threat.

find
M$

【在 g*****g 的大作中提到】
: Java is open sourced and has high visibility. Usually a developer will find
: out security holes first. Windows, on the other hand, is close-sourced.
: People don't know the issue exists until they are under attack. And then, M$
: developers will secretly fix the issue. It could take months for them to
: fix it and we just don't know.
: Is Windows immunized from security breaches? The about weekly security
: update
: says enough.
d**********x
发帖数: 4083
30
open source, close source, encryption algorithm, firewall, all jokes...
M$ is definitely the worst, but other stuffs are at best, bad.

a

【在 l*********s 的大作中提到】
: re, my wife's office pc got virus infection within a month after upgrading
: to win7.
: This is probably a bad coincidence, or even an indication that the
: popularity of win7 has surpassed WinXP among hackers. Nevertheless, it is a
: real threat.
:
: find
: M$
相关主题
Windows下service程序问题Apple's anti-malware blacklists Java 7 plug-in again
弱问:API stub 是指什么呀?我也来说说web技术吧
有没有人遇到过这样的问题?java调用c++,我看还是socket tcp比较好
进入Programming版参与讨论
n*w
发帖数: 3393
31
Old version of Windows and IE 6 used to be really bad. Adobe flash, reader
and Java have bad reputation at this moment. A lot of malicious software or
viruses infected PC via these software when users access Internet,
especially on these unpatched PCs. The IT dept of some companies still use
old version of these software or are slow on patching the system. Don't
always blame OS when your PC is infected by virus.


【在 d**********x 的大作中提到】
: open source, close source, encryption algorithm, firewall, all jokes...
: M$ is definitely the worst, but other stuffs are at best, bad.
:
: a
n*w
发帖数: 3393
32
Oracle Java surpasses Adobe Reader as the most frequently exploited software
http://www.kaspersky.com/about/news/virus/2012/Oracle_Java_surp
g*****g
发帖数: 34805
33
说这些虚的都没用。05年出来的冲击波病毒,俺们公司当时两天开不了工。哪个Java产
生的问题有这么厉害?你还能改写历史不成?这次出来的问题还要去上恶意网站,当年
这病毒可是直接RPC就把局域网上的所有机器传染了。Windows闭源软件,经常偷偷就把
漏洞改了,没被外界发现就不算,以此来跟Linux比漏洞。这种伎俩,以为大家都不知
道。你看看Windows多久打一次补丁,Java 多久打一次补丁就知道了。
退一万步,Java程序员靠applet吃饭的连1%都没有,全世界人民都禁掉又如何。只有几
个微软的五毛喜欢哗众取宠罢了。
http://www.duba.net/special/leakspecial/msblaster/index.shtml
在过去的短短一周之内,“冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻
击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,大量企业用户也未
能幸免。该病毒还引发了DOS攻击,使多个国家的互联网也受到相当影响。

【在 N********n 的大作中提到】
:
: "High visibility" is simply a myth. The truth is no one has that
: much free time checking someone else' code. People don't even
: have time to cover own code so how much time would they have for
: someone else's?
: The code can be as open as possible but if no one bothers checking
: it then it's no more visible than the close source.
n*w
发帖数: 3393
34
Curiously, which ids are Microsoft 5 Mao here?

【在 g*****g 的大作中提到】
: 说这些虚的都没用。05年出来的冲击波病毒,俺们公司当时两天开不了工。哪个Java产
: 生的问题有这么厉害?你还能改写历史不成?这次出来的问题还要去上恶意网站,当年
: 这病毒可是直接RPC就把局域网上的所有机器传染了。Windows闭源软件,经常偷偷就把
: 漏洞改了,没被外界发现就不算,以此来跟Linux比漏洞。这种伎俩,以为大家都不知
: 道。你看看Windows多久打一次补丁,Java 多久打一次补丁就知道了。
: 退一万步,Java程序员靠applet吃饭的连1%都没有,全世界人民都禁掉又如何。只有几
: 个微软的五毛喜欢哗众取宠罢了。
: http://www.duba.net/special/leakspecial/msblaster/index.shtml
: 在过去的短短一周之内,“冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻
: 击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,大量企业用户也未
d****i
发帖数: 4809
35
从各大技术网站的新闻来看,Java的安全问题仅仅限于浏览器的Applet插件,对于运行
在服务器端的Java没有影响。Adobe的Acrobat Reader,尚未release的新版的Firefox
19 Beta已经不需要Adobe Reader的插件,看PDF文件直接在浏览器中用JavaScript生成
,速度更快而毋需插件。

software

【在 n*w 的大作中提到】
: Oracle Java surpasses Adobe Reader as the most frequently exploited software
: http://www.kaspersky.com/about/news/virus/2012/Oracle_Java_surp
g**********g
发帖数: 18118
36
怪不得出口许可证都要问用没有JAVA。
N********n
发帖数: 8363
37

那个PATCH并不是最终FIX,现在的建议是PATCH之后还要DIABLE.

【在 d**********x 的大作中提到】
: sunday afternoon才出来的patch,俺们当时确实没想到
n*w
发帖数: 3393
38
攻击的源代码在这个
http://pastebin.com/raw.php?i=cUG2ayjh
只要run jar文件就能攻击。服务器基本不会run从其他地方来的jar。除非有服务器提
供run用户的jar的服务。
不让直接运行程序的web hosting/cloud的用户到可以此法在host上的运行程序。

Firefox

【在 d****i 的大作中提到】
: 从各大技术网站的新闻来看,Java的安全问题仅仅限于浏览器的Applet插件,对于运行
: 在服务器端的Java没有影响。Adobe的Acrobat Reader,尚未release的新版的Firefox
: 19 Beta已经不需要Adobe Reader的插件,看PDF文件直接在浏览器中用JavaScript生成
: ,速度更快而毋需插件。
:
: software
g*****g
发帖数: 34805
39
Nobody cares about java applet, just like nobody cares about silverlight
nowadays. Even the king of this domain, flash, is dying. The homeland
security doesn't advise against java, only java
plugin in browser. As a veteran Java developer, the only java applet I used
today is the Go game displayer on Tom, that one was written over 10 years
ago and never changed. There's a reason the banks heavily
invest on Java and Linux solution, and not so much on .Net and Windows. Talk
about security.
"To defend against this and future Java vulnerabilities, consider disabling
Java in Web browsers until adequate updates are available."

【在 N********n 的大作中提到】
:
: 那个PATCH并不是最终FIX,现在的建议是PATCH之后还要DIABLE.
E*****m
发帖数: 25615
40
Nobody? 講得那麼絕對做啥?
你沒小孩上網玩遊戲對吧? 只會用自己上網的習慣來猜測別人上什麼站是嗎?

used
Talk
disabling

【在 g*****g 的大作中提到】
: Nobody cares about java applet, just like nobody cares about silverlight
: nowadays. Even the king of this domain, flash, is dying. The homeland
: security doesn't advise against java, only java
: plugin in browser. As a veteran Java developer, the only java applet I used
: today is the Go game displayer on Tom, that one was written over 10 years
: ago and never changed. There's a reason the banks heavily
: invest on Java and Linux solution, and not so much on .Net and Windows. Talk
: about security.
: "To defend against this and future Java vulnerabilities, consider disabling
: Java in Web browsers until adequate updates are available."
1 (共1页)
进入Programming版参与讨论
相关主题
请推荐一本入门C#的书java其实内部也一直都有争论
Linux scheduler (转载)为啥没人吊.net c#语言?
Windows下service程序问题做并发,Go语言自带和Java用库来搞到底有多大区别呀?
弱问:API stub 是指什么呀?minecraft卖价20亿美元
有没有人遇到过这样的问题?把Java和浏览器整合可以成为很大的热点
Apple's anti-malware blacklists Java 7 plug-in againC++缺少了哪些开源的轮子?
我也来说说web技术吧Goodbug再来赌一把1M/s计数器如何?Java实现
java调用c++,我看还是socket tcp比较好更多的关于Java GC
相关话题的讨论汇总
话题: java话题: windows话题: security话题: 软件话题: 漏洞

未名新帖统计// 7月16日

#版面帖数(主题数)
-全站4871 (796)
1Military3777 (569)
2Stock341 (51)
3Joke117 (17)
4History116 (3)
5Automobile100 (9)
6USANews55 (9)
7Midlife45 (1)
8Headline41 (41)
9Dreamer33 (13)
10FleaMarket32 (20)
11Living30 (7)

* 这里只显示发帖超过25的版面,努力灌水吧:-)

历史上的今天

  1. faintcat妹妹看进来~~ 发表于12年前.
  2. NSC, PD 1/7/2007, EB2, ... 发表于11年前.
  3. [FBA求购]MJVE2 758 MJVM2 ... 发表于6年前.
  4. 老生常谈,归与不归 发表于10年前.
  5. 【申请】Seattle西雅图 版版主——申请人... 发表于9年前.
  6. 宝宝出生,头骨骨折,求祝福 发表于9年前.
  7. 求推荐舒缓优美的古典音乐 发表于11年前.
  8. 百分之一的北京人上北大 中国网友愤怒(转载) 发表于10年前.
  9. 新人带狗狗Bailey来报道 发表于12年前.
  10. 全世界最有价值的运动队 发表于10年前.
  11. 请问大切诺基的质量如何 发表于6年前.
  12. TNND,军版全是BKC 发表于15年前.
  13. Inception 发表于12年前.
  14. 微软的有些家属可真恶心,为了卖保险脸都不要了 发表于10年前.
  15. 每周坐高铁的苦逼来说说感受吧!! 发表于9年前.
除非另有声明,本站内容采用Creative Commons BY-NC-SA 3.0协议进行许可,转载请注明来自未名观察 - 隐私政策2011-07-24 10:06:12由admin编辑