Como a superfície ataques, navios Sun súbita patch de Java

Em uma súbita reviravolta, a Sun tem correu para fora uma atualização de Java para corrigir um drive-by download vulnerabilidade que expôs usuários do Windows para in-the-wild ataques de malware.

[Ver: Pesquisador alerta para falha de Java perigoso]

Empresa Software;? OpenOffice está morto. LibreOffice ao vivo por muito tempo; Abrir Onetime MS OpenOffice Escritório challenger:? Nós podemos encerrar devido ao apoio cada vez menor; Nuvem; Red Hat ainda planeja ser a empresa OpenStack; armazenamento; Facebook Open fontes ZStandard algoritmo de compressão de dados, tem o objetivo de substituir a tecnologia por trás Zip

O patch vem menos de uma semana depois de Sun disse um pesquisador do Google não considerou a questão grave o suficiente para justificar um patch de out-of-cycle e menos de um dia depois de os investigadores descoberto façanhas ao vivo em um site da Web song lyrics armadilhado.

As notas de lançamento que acompanham o novo Java 6 Update 20 não faz qualquer menção a divulgação falha público ou ataques subseqüentes, mas eu tenho sido capaz de confirmar que o patch faz cobrir a vulnerabilidade lançado pelo pesquisador de segurança do Google Tavis Ormandy.

A falha, que também foi descoberto independentemente por Ruben Santamarta, ocorre porque o navegador Java-Plugin está em execução “javaws.exe” sem validar os parâmetros de linha de comando.

Apesar da ausência de documentação, um pesquisador estava prestes a descobrir que a Sun removeu o código seja executado javaws.exe do plug-in Java.

Aqui está um link para baixar o patch a partir do site do Sol.

É incompreensível que um fornecedor de software como a Sun, agora sob as asas da Oracle, poderia ter diagnosticada esta vulnerabilidade quando Ormandy originalmente relatou. Ficou claro, desde o início, que esta era uma questão de “crítico” que foi encontrado por vários hackers diferentes. No Twitter, Ormandy disse que não tinha informações de que a questão já estava em estado selvagem antes que ele empunhou a vara full-divulgação. No entanto, ele afirma “era demasiado trivial para que isso não seja o caso.

Falando de irresponsável, aqui está o que eu vi quando aplicada a nova atualização Java esta manhã. Sim, marcada por padrão. Suspiro.

? OpenOffice está morto. LibreOffice Long live

Ex-desafiante OpenOffice MS Office: Podemos encerrado devido a queda de apoio

? Red Hat ainda planeja ser a empresa OpenStack

Facebook Open fontes ZStandard algoritmo de compressão de dados, tem o objetivo de substituir a tecnologia por trás Zip

[Ver: Java zero-day falha sob ataque ativo]

[Ver: divulgação responsável, a maneira Microsoft]