Méně než 24 hodin poté, co Oracle vydal záplatu na nově objevenou bezpečnostní díru v Javě se na fóru Underweb objevila nabídka k prodeji dalšího exploitu. Ten je možné koupit za 5000 dolarů a zřejmě zneužívá předchozí díru. Podle analýzy OpenJDK komunity totiž zveřejněný patch nefunguje dobře a všechny problémy zdaleka neopravuje.
(Zdroj: Slashdot)
Zalovte v pameti. Jak casto clovek musel updatovat Javu jeste za Sunu? Jak casto Secunia PSI hlasila bezpecnostni diru v existujici instalaci Javy? Dost se na to pamatuji, protoze ti kokoti ze Sunu pri updatu akorat nainstalovali novou Javu a starou tam nechali valet a clovek to musel rucne odinstalovat. To se dnes uz nedeje, dnes clovek akorat v pulce pripadu musi Javu rucne stahnout a nainstalovat, protoze update budto ani nestekne nebo nahlasi, ze stahnuty update nejde nainstalovat, protoze kdo vi, co.
Ona chyba není v Javě. Chyba je v jejím pluginu, který má dva protichůdné úkoly - dovolit "hodnému" kódu plnohodnotné fungování a neobtěžovat uživatele nějakým stahováním, potvrzováním nebo instalací, a to včetně přístupu k lokálním souborům atd. Druhý úkol je udržet "zlý" kód v sandboxu a neškodný. Bohužel se to nedaří a i "zlý" kód může podloudně získat práva, která by měl mít jen ten "hodný".
Díky tomu, co ten plugin všechno umí, tak jsme ve stavu, kdy i aplikace "na webu" dokáže vše, co ta lokálně instalovaná. Než si něco nainstaluji, tak si pořádně zkontroluji co to je, zda to není zavirované nebo to není nějaký backdoor. Těžko však mohu kontrolovat každý jeden applet, který se mi vloudí do prohlížeče. A na řešení "tak ať je java plugin zase jen sandbox" lidé a zejména firmy nechtějí slyšet, protože si zvykli na "plnohodnotné java aplikace běžící ve webovém prohlížeči".
Nakonec prijde na radu stary dobry JVM od microsoftu:) Ktery byl mimochodem sveho casu podstatne rychlejsi nez jeho soudruh od slunicka:) Od te doby to jde s javou dost z kopce ... rychlost mizerna, spolehlivost nulova ...
Kdyz jsme u te rychlosti, paradne tomu sparil prdel gugl se svym dalvikem, to byl opravdu majstrstych horkou jehlou jak z ucebnice:o))))
MS Java byla tolik Java, kolik je Linux UNIXem :). Tedy pro všechny praktické účely jde o totéž (akorát ta Java od MS byla výrazně rychlejší než ta od Sunu). MS si jen dovolil svou Javu obohatit o další funkcionalitu, a neimplementovat některé okrajové záležitosti, které prakticky nikdo nepoužíval. Za zmínku stojí i to, že Java v Netscapu v té době také nevyhovovala specifikacím Sunu. Jenže Sun nevnímal Netscape jako konkurenta.
Soud dospěl k názoru, že Microsoft chtěl Javu zničit. Podle všeho ji chtěl ale naopak široce používat. Výsledkem soudní pře bylo vítězství Sunu a léta stagnace Javy na desktopu. Ke zničení Javy dochází až dnes pod křídly Oraclu ;)
>Soud dospěl k názoru, že Microsoft chtěl Javu zničit. Podle všeho ji chtěl ale naopak široce používat.
To je mozne. Ale kdyz je to vazane na jednu platformu, je to uplne na hovno a u Javy jde mimo jine o to, aby se to jednou napsalo a jelo to vsude. Krome toho, predpokladam, ze namisto pokusu ve stylu "embrace, extend, extinguish, se mohl MS pokusit spolupracovat se Sunem na vylepseni Javy. Pokud slo jen o to, aby vznikl paskvil, ktery funguje jen na Widlich, mohl si MS napsat cokoliv vlastniho a nazvat to treba jmenem Gatesova oblibeneho morcete.
.NET má s Javou společné některé koncepty, ale technicky toho naštěstí moc společného nemají. .NET si například nemůže dovolit tak mizernou správu paměti.
BTW zrovna ty mobily od MS mají .NET jako primární API, a na rozdíl od Androidu založeného na Javě se zatím ohledně bezpečnost drží velmi dobře :)
U telefonů je situace trochu jiná. Chcete se zabývat malwarem a administrací systému u mikrovlnky, auta a robotického vysavače? Vy možná ano, ale většina lidí ne. Chtějí aby to prostě fungovalo. A telefony na jiných platformách (iPhone, Windows Phone) zdaleka nemají problémy takového rozsahu.
Navíc jste si mohl všimnout, že minimálně v případě SMSZombie jde o privilege escalation:
'If the evil “Android System Service” is installed, the malware attempts to obtain administrator privileges on the device, a step that Yang says cannot be canceled due to the fact that users are essentially forced to click “Activate” because clicking the “Cancel” button just reloads the same dialog box.'
ČLÁNKY DO MAILU