[Java lista] biztonsági rések
Auth Gábor
auth.gabor at javaforum.hu
2010. Ápr. 16., P, 10:29:36 CEST
Halihó!
biziclop írta:
> Mondjuk most meg is neztem konkretan a peldat, es hat ize, nem kell
> kattintani sehova. Csak megnyitod az oldalt es elindul a windows
> calculator.
Hm... akkor néha másképp működik, géptől és böngészőtől függ ezek szerint.
Annyi még a megszorítás, amit leírtam talán később, hogy az user gépén kell
legyen a kártékony futtatandó natív kód, vagy Windows megosztáson elérhető
kell legyen.
Létezik a hiba, kihasználható, ám eléggé nehéz kihasználni. De amint az az
Apache esetéből látszik, esetleg ugródeszka lehet egy töréshez, és sokkal
egyszerűbb social engineering bevetése.
Ha kitennék egy kártékony weboldalra egy JavaWS kódot, self signed cert-el,
hogy XYZ programhoz keygen szoftver, ezernyi kattintást kapna, boldog-
boldogtalan töltené le, és gond nélkül tudnék bármit letölteni és telepíteni a
felhasználó gépén. Ja, nem is kell ehhez Java, egy .exe bármikor tudja ezt a
feature-t... :P
Összefoglalva: létező hiba, javítani kell, s ezt nem is vitatta senki, de
nagyobb a füstje, mint a lángja.
--
http://www.javaforum.hu -=- http://www.enaplo.hu
Auth Gábor -=- http://www.javaforum.hu/web/10/authgabor
További információk a(z) Javalist levelezőlistáról