<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><h6 class="uiStreamMessage userContentWrapper" data-ft="{"type":1,"tn":"K"}"><span class="messageBody" data-ft="{"type":3}"><span class="userContent"><a href="http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/?utm_source=Naked+Security+-+Sophos+List&utm_medium=email&utm_campaign=080ad38316-naked%252Bsecurity" target="_blank" rel="nofollow nofollow">http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/?utm_source=Naked+Security+-+Sophos+List&utm_medium=email&utm_campaign=080ad38316-naked%252Bsecurity</a><br> <br>
Milyen jó, hogy minden, széles körben használt szoftvert, amit a
nyugati világ kifejleszt a Kínai Népköztársaság szorgos munkatársai
rendkívül részletes biztonsági auditnak vetnek alá.<br> <br> Az az apró
pici probléma, hogy a riporting stílusuk egy kicsit rendhagyó.
Legalábbis nem a megszokott a mi kultúránkban. De hát ez a kultúrák
különbsége.<br> <br> És akkor most az összes böngészőben Java applet futtatása kikapcsol.</span></span></h6><div><li class="ufiItem uiUfiLike uiListItem uiListVerticalItemBorder" data-ft="{"type":31}"><div class="clearfix"><div class="-cx-PRIVATE-uiImageBlockDeprecated__iconContent -cx-PRIVATE-uiImageBlockDeprecated__content"></div></div></li><li class="uiUfiComments uiListItem uiListVerticalItemBorder" data-ft="{"type":32}"><ul class="commentList"><li class="uiUfiComment comment_1208921 ufiItem ufiItem" data-ft="{"tn":"R0"}"><div class="clearfix uiUfiActorBlock "><br><a data-hover="tooltip" class="commentRemoverButton -cx-PRIVATE-uiImageBlockDeprecated__ext uiCloseButton" href="https://www.facebook.com/verhas/posts/276642845783809?notif_t=like#" role="button" rel="async-post" ajaxify="/ajax/ufi/one_click_remove?comment_id=1208921&commenter_id=100001531231396&profile_id=1015281651&post_fbid=276646275783466&can_remove=1&can_report=1&can_edit=0&is_spam=0&report_link=%2Fajax%2Freport.php%3Fcontent_type%3D74%26cid%3D276646275783466%26rid%3D100001531231396%26cid2%3D0%26profile%3D1015281651%26h%3DAfhxcuc4xNVQwWcj&feedback_params=%7B%22actor%22%3A%221015281651%22%2C%22target_fbid%22%3A%22276642845783809%22%2C%22target_profile_id%22%3A%221015281651%22%2C%22type_id%22%3A%2217%22%2C%22assoc_obj_id%22%3A%22%22%2C%22source_app_id%22%3A%220%22%2C%22extra_story_params%22%3A%5B%5D%2C%22content_timestamp%22%3A%221346322277%22%2C%22check_hash%22%3A%22AQD_4R_KVVO8bJwc%22%2C%22source%22%3A%2213%22%7D" id="uqdgr2_6"></a><div data-ft="{"type":33,"tn":"K"}" class="-cx-PRIVATE-uiImageBlockDeprecated__smallContent -cx-PRIVATE-uiImageBlockDeprecated__content"><div class="commentContent"><a id="js_22" aria-haspopup="true" aria-controls="uqgogd_1" aria-owns="uqgogd_1" class="actorName" href="https://www.facebook.com/rasztasd" data-ft="{"type":35,"tn":";"}" data-hovercard="/ajax/hovercard/user.php?id=100001531231396">Daniel McAllister</a> <span data-jsid="text" class="commentBody">Java
1.6 ftw. Amúgy meg elvileg bármennyire "biztonságos" Java-t futtatni,
mert hogy sandboxban fut meg miegymás, de sosem futtatok third party
(nem saját, céges stb.) Java-t.</span><span></span></div><div class="commentActions fsm fwn fcg"><a class="uiLinkSubtle" href="https://www.facebook.com/verhas/posts/276642845783809?comment_id=1208921&offset=0&total_comments=2" data-ft="{"tn":"N"}"><abbr title="2012. augusztus 30., 12:38" data-utime="1346323096" class="timestamp livetimestamp">12 perce</abbr></a> </div></div></div></li><li class="uiUfiComment comment_1208943 ufiItem ufiItem" data-ft="{"tn":"R"}"><div class="clearfix uiUfiActorBlock "><div class="-cx-PRIVATE-uiImageBlockDeprecated__ext"><div class="uiSelector inlineBlock commentHideSelector stat_elem editSelector uiSelectorRight" data-name="hide_option[1208943]" data-autosubmit="1"><div class="wrap"><a data-hover="tooltip" class="uiSelectorButton uiCloseButton" href="https://www.facebook.com/verhas/posts/276642845783809?notif_t=like#" role="button" ajaxify="/ajax/ufi/hide_selector.php?comment_id=1208943&commenter_id=1015281651&profile_id=1015281651&post_fbid=276648039116623&can_remove=1&can_report=0&can_edit=1&is_spam=0&feedback_params=%7B%22actor%22%3A%221015281651%22%2C%22target_fbid%22%3A%22276642845783809%22%2C%22target_profile_id%22%3A%221015281651%22%2C%22type_id%22%3A%2217%22%2C%22assoc_obj_id%22%3A%22%22%2C%22source_app_id%22%3A%220%22%2C%22extra_story_params%22%3A%5B%5D%2C%22content_timestamp%22%3A%221346322277%22%2C%22check_hash%22%3A%22AQD_4R_KVVO8bJwc%22%2C%22source%22%3A%2213%22%7D" aria-haspopup="1" rel="toggle" id="uqdgr2_7"></a></div></div></div><div data-ft="{"type":33,"tn":"K"}" class="-cx-PRIVATE-uiImageBlockDeprecated__smallContent -cx-PRIVATE-uiImageBlockDeprecated__content"><div class="commentContent"><a class="actorName" href="https://www.facebook.com/verhas" data-ft="{"type":35,"tn":";"}" data-hovercard="/ajax/hovercard/user.php?id=1015281651">Peter Verhas</a> <span data-jsid="text" class="commentBody"><div id="id_503f44fadd95e9c67716703" class="text_exposed_root text_exposed">Mit jelent az, hogy sandbox-ban fut?<br> <br>
Azt jelenti, hogy 1.) a JVM nem hajlandó futtatni olyan kódot, amelyik
privilegizált, csak a runtime (kvázi "kernel mód") számára szánt
osztályokat akar használni, 2.) a java.lang.System SecurityManager<div class="text_exposed_show">
ellenőrzi, hogy milyen fájlt akar írni a program, milyen más
erőforráshoz akar hozzáférni. Például azt is ellenőrzi, hogy át akarja-e
a program állítani a SecurityManager-t.<br> <br> Az 1. pontot könnyen
ki lehet kerülni, mert minden belső osztályra reflectionnal hivatkozok,
így a bytekódban nem jelenik meg olyan osztályra való hivatkozás, amit a
JVM class loader kivág. A stringeket már nem ellenőrzi, mert az már
program analízis lenne, és soha az életben nem töltődne be és indulna el
egy program sem. Már az is időigényes, amit most megtesz.<br> <br> A 2.
pont úgy van implementálva (nem is lehet másként), hogy minden olyan
eljárás, ami valami védett információhoz tud hozzáférni (pl. át tudja
állítani a System osztály statikus security mezőjét) előtte megkérdezi a
SecurityManager-t (ha van, és nem null a System security), hogy
szabad-e. A mostani hiba abból fakad, hogy kínai kollégáink találtak az
1.7.0.6 release-ben egy olyan metódust, amelyik az 1.6-ban még nem volt,
és amelyikkel úgy lehet átállítani a security manager-t, hogy előtte
nem kérdezik meg tőle, hogy ki lehet-e őt kapcsolni.<br> <br> Innen kezdve pedig szabad a pálya.<br> <br> "de sosem futtatok third party (nem saját, céges stb.) Java-t"<br> <br> Biztos vagy benne, vagy csak nem vetted észre?</div></div></span><span></span></div><div class="commentActions fsm fwn fcg"><a class="uiLinkSubtle" href="https://www.facebook.com/verhas/posts/276642845783809?comment_id=1208943&offset=0&total_comments=2" data-ft="{"tn":"N"}"><abbr title="2012. augusztus 30., 12:48" data-utime="1346323694" class="timestamp livetimestamp"></abbr></a></div></div></div></li></ul></li><div><font class="Apple-style-span" color="#888888" face="Helvetica"><br></font></div></div><div apple-content-edited="true"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-family: Helvetica; "><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><span class="Apple-style-span" style="color: rgb(136, 136, 136); ">Verhás Péter</span><span class="Apple-style-span" style="color: rgb(136, 136, 136); "><br></span><span class="Apple-style-span" style="color: rgb(136, 136, 136); "></span><span class="Apple-style-span" style="color: rgb(136, 136, 136); "><a href="mailto:peter@verhas.com">peter@verhas.com</a></span><span class="Apple-style-span" style="color: rgb(136, 136, 136); "><br></span><span class="Apple-style-span" style="color: rgb(136, 136, 136); ">+36(30)9306805</span><span class="Apple-style-span" style="color: rgb(136, 136, 136); "><br></span><span class="Apple-style-span" style="color: rgb(136, 136, 136); ">skype: verhas</span></div></div></span><br class="Apple-interchange-newline"></div><br class="Apple-interchange-newline"><br class="Apple-interchange-newline">
</div>
<br></body></html>