[Java lista] biztonsági rések

Auth Gábor auth.gabor at javaforum.hu
2010. Ápr. 16., P, 10:29:36 CEST


Halihó!

biziclop írta:
> Mondjuk most meg is neztem konkretan a peldat, es hat ize, nem kell
> kattintani sehova. Csak megnyitod az oldalt es elindul a windows
> calculator.

  Hm... akkor néha másképp működik, géptől és böngészőtől függ ezek szerint.

  Annyi még a megszorítás, amit leírtam talán később, hogy az user gépén kell 
legyen a kártékony futtatandó natív kód, vagy Windows megosztáson elérhető 
kell legyen.

  Létezik a hiba, kihasználható, ám eléggé nehéz kihasználni. De amint az az 
Apache esetéből látszik, esetleg ugródeszka lehet egy töréshez, és sokkal 
egyszerűbb social engineering bevetése.

  Ha kitennék egy kártékony weboldalra egy JavaWS kódot, self signed cert-el, 
hogy XYZ programhoz keygen szoftver, ezernyi kattintást kapna, boldog-
boldogtalan töltené le, és gond nélkül tudnék bármit letölteni és telepíteni a 
felhasználó gépén. Ja, nem is kell ehhez Java, egy .exe bármikor tudja ezt a 
feature-t... :P

  Összefoglalva: létező hiba, javítani kell, s ezt nem is vitatta senki, de 
nagyobb a füstje, mint a lángja.
-- 
http://www.javaforum.hu -=- http://www.enaplo.hu
Auth Gábor -=- http://www.javaforum.hu/web/10/authgabor


További információk a(z) Javalist levelezőlistáról