[Java lista] biztonsági rések
Zsombor
gzsombor at gmail.com
2010. Ápr. 16., P, 11:46:26 CEST
2010/4/16 Auth Gábor <auth.gabor at javaforum.hu>
> HalihĂł!
>
> biziclop Ărta:
> >> Annyi mĂ©g a megszorĂtás, amit leĂrtam talán kĂ©sĹ‘bb, hogy az user gĂ©pĂ©n
> >> kell legyen a kártĂ©kony futtatandĂł natĂv kĂłd, vagy Windows megosztáson
> >> elérhető kell legyen.
> > Persze, de ha már futtathatsz bármilyen java kódot sandbox nélkül,
> > vajon mennyire lehet nehĂ©z egy byte tömbbĹ‘l kiĂrni egy dll file-t? :)
>
> Ez a 22-es csapdája. Ahhoz, hogy kiĂrj a felhasználĂł gĂ©pĂ©re egy dll-t
> sandbox-bl, ahhoz elĹ‘ször kell egy olyan dll, amely segĂtsĂ©gĂ©vel ki tudsz
> jönni a sandbox-ból. :)
> Ugródeszkának jó a hiba, hogy futtatni tudj egy előzőleg más
> sebezhetőséggel
> letöltött fájlt, tehát mindenképpen veszélyes lehet, de ehhez kell némi
> social
> engineering is.
>
Nem, az a kĂłd ami el tud indĂtani egy calc.exe-t az ki tud irni sok mindent
a file rendszerbe. Amúgy maga a jar-ban levő osztály nem csinál túl sokat,
hiv egy Runtime.exec-et.
Zs
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: http://javagrund.hu/pipermail/javalist/attachments/20100416/acd97e69/attachment.html
További információk a(z) Javalist levelezőlistáról