Hogyan tudnék élni nélküled?

2012. augusztus 29. 13:28 - Csizmazia Darab István [Rambo]

Hisz rólad szól az élet Java, legalábbis újabban: "Java 7 0day", "Mac és Linux alatt is üt a Java kártevő", vagy "A Mac gépeket is veszélyezteti a Java hibája" szalagcímekkel szembesülhetünk. Stílszerűen megválaszoljuk hát az Élet nagy kérdéseit, például mit tegyünk, nehogy ránk szakadjon a föld és az ég: kikapcsoljuk, lekapcsoljuk.

Az már mindenki előtt ismert lehet, hogy a biztonság új lyukas sajt Holdja nem más, mint az Ementáli-szerű Java, hibáktól hemzsegve statisztikailag sziget-köröket ver olyan korábbi győztesekre, mint az Adobe Flash, PDF, vagy éppen a Microsoft Office. Az is tisztán és világosan látható, hogy egyre több Javás kártevő lát napvilágot, és az sem lehet meglepetés, hogy ezek között a Mac juzerek irányába is történnek fenyegetések.

Szóval ha adott egy ilyen veszélyes, operációs rendszereken átívelő hiba, mindeközben lassú reagálású javítások tetézik az amúgy is nehéz helyzetet, akkor bizony workaroundot, azaz valamilyen átmeneti megoldást, megkerülő módszert kell keresni addig is. Ez most azoknál, akik nem is használják a Javát, és mégis telepítve van, jelentheti az uninstallt, de érdemes tudni, van azért számos olyan hasznos alkalmazás is (pl. Jdownloader, TwitterBackup, JAlbum, stb.), amely miatt ezt nem teheti meg mindenki. Hasonló a helyzet a "Gyakjuk akkor ki gyorsan a Java plugint a böngészőnkből most!" felkiáltással is, és bár megmutatjuk, OS X alatt hogyan kapcsolhatjuk ki Safariban, valamint Linux alatt Mozilla Firefoxban, de arra is mutatunk egy példát, hogy esetleg ezzel milyen alapvető és fontos feladatokat hiúsíthatunk meg akaratlanul.

A végső javítás (na persze ;-) megérkeztéig így valószínűleg a Java Plugin kikapcsolása, és csak az esetleges használat idejére a böngészőben való ideiglenes újraengedélyezése marad sokaknak, de ezt érdemes is megtenni, mert félő, hogy számtalan korábban ártalmatlan weboldalt fognak majd megfertőzni ezzel a Java sebezhetőséget kihasználó kóddal.

Macintosh alatt is veszélyben lehetünk, ezért a Safarinál a Web content -> Enable Java mellől kell egyszerűen kivenni a pipát, míg Linux alatt is hasonlóan Kinderspiel a dolog: a Tools -> Add-ons- > Firefox Plug-in tiltásával érhetjük el a kikapcsolást. Hogy miért érdemes kikapcsolni, ahhoz már ebben az ablakban is kapunk némi adalékot: "known to cause security or stability issues", de a cikk elején linkeltünk be bőségesen ennél sokkal részletesebb információkat is. Az érdekesség kedvéért kezdjünk most el bankolni például a CIB oldalán. Már érkezik is "Az Ön böngészője nem támogatja a Java kisalkalmazások futtatását." üzenet.

Szóval érdemes mindenkinek feltérképezni azokat az elengedhetetlen kulcsfontosságú alkalmazásokat, ahol engedélyezi, egyéb esetben addig is a letiltás lehet az egyetlen ésszerű teendő.

9 komment

McKinney 2012.08.30. 07:45:36

@koszegiandras: sajna ez nem fog megvédeni, itt arról van szó, hogy még nem javitották az ismert hibákat, sőt konkrét támadások által kihasznált réseket sem. Hiába van a legfrisebb javád, megnyitsz egy fertőzött oldalt és annyi. És egyre több ilyen oldal lesz, erről szól a cikk.

spontan · http://erdekessegek.info 2012.08.30. 08:37:52

Szerencsére Java már elég kevés dologhoz kell, a kliensoldalon már nem nagyon használják, legalábbis én nemigen használok olyan oldalakat, amikhez java kell. A CIB online felülete jut csak most eszembe, ami fontos lehet, és az Java-ban van megírva.

Valaki2 2012.08.30. 09:07:02

JDownloader nem desktop alkalmazás? Amennyiben igen, akkor annak pont annyi joga van, mint tetszőleges más alkalmazásnak.

A gond itt az applet-ként induló programokkal van, banki rendszerek, satöbbi. A megoldás, hogy felrakunk egy böngészőt amit CSAK a banki műveletekre használunk, és mindenhol máshol lekapcsoljuk a java plugin támogatást.

Mégegyszer: a hiba a böngészőben futó appleteket érinti, és nem az alkalmazásokat!

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.09.02. 06:32:03

Kezd ez a dolog már kínosan röhejes lenni:
www.theregister.co.uk/2012/08/31/critical_flaw_found_in_patched_java/

Nekem a Tizedes és a többiek ugrott be, ahogy Sinkovicsék egyik percben hol orosz, hol német egyenruhába bújnak, úgy itt is "elég a peccs", és a "nem, nem, teljesen ki kell kapcsolni a Javat" verziók között váltakoznak a tanácsok a pillanatnyi helyzet függvényében :-/ Ennek alapján jöhet a patch, és csak azután kapcsoljuk ki vagy uninstalláljuk ;-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.08.29. 16:18:02

Egy kis adalék a témához:

Java 0-Day Using Latest Dadong’s JS Obfuscator:
www.kahusecurity.com/2012/java-0-day-using-latest-dadongs-js-obfuscator/

Válasz erre

koszegiandras 2012.08.29. 23:01:01

Még jó, hogy én a java klienst ami a gépemen van azt vagy közvetlenül a program hivatalos oldaláról frissítem vagy a firefox beépülő modulok frisseségét ellenőrző szolgáltatásán keresztül.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.08.30. 05:04:54

További érdekesség: Oracle knew about critical Java flaws since April:
www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/

d.j 2012.08.30. 09:23:52

Még jó, hogy az általad beillesztett képen a java 1.6-os és az nem érintett :)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.08.30. 15:34:50

"Az Oracle már április óta tud a Java-hibáról, de ennek ellenére a júniusi frissítéskor nem javították, vagyis legközelebb október közepén lehet erre számítani."
itcafe.hu/hir/oracle_java_sebezhetoseg.html