ugrás a tartalomhoz

Java update - vírusos?

inf3rno · 2016. Május. 27. (P), 16.59
Ma felugrott nekem egy popup win7 alatt, hogy engedélyezem e a java update-nek, hogy módosításokat hajtson végre. Ez meglepő volt, mert úgy van beállítva nálam, hogy jelzi, ha van frissítés, de nem indítja el automatikusan. A digitális aláírás rendben volt, úgyhogy rányomtam. Utána feljött a vírusirtó egy olyannal, hogy kéretlen alkalmazást próbál telepíteni a cucc. Nyilván rámentem, hogy megtisztítás. Utána kaptam egy olyan üzenetet a rendszertől, hogy valamelyik dll fájl, amit fel próbált rakni nem volt megfelelően digitálisan aláírva. Gondolom én amibe belenyúlt a vírusirtó, arra nem stimmelt az aláírás. Egyelőre lelőttem az egész java-t a pereputtyával, mert van jobb dolgom is most, mint hogy vele bohóckodjak. Szerintetek elképzelhető, hogy tényleg vírust próbált telepíteni a java update?
 
1

Igen

Pepita · 2016. Május. 28. (Szo), 06.36
Szerintem simán elképzelhető, tekintve, hogy a telepítő csomagot védő szignó azt hivatott jelezni, hogy maga a telepítő biztonságos, de emellett nem hinném, hogy a tartalmat össze állító team minden futtatható részt vissza fejtene ellenőrzés céljából... Az még egy viszonylag egyszerű eset, hogy egy (több) DLL nincs megfelelően aláírva. Ennek ki kellett volna buknia a csomag készítésekor. Sokkal rosszabb, amikor van jó szignó mindenre, mégis csúnyaságot (is) művel valamelyik DLL fv...
Ezért kerülöm a java-t, mert már lassan a Jóisten se tudja, mit gépészkedik, ha fent van.
2

Király. Hát nekem sajnos

inf3rno · 2016. Május. 28. (Szo), 09.14
Király. Hát nekem sajnos kell, mert az IDE csak azzal megy.
3

netbeans?

Pepita · 2016. Május. 28. (Szo), 18.37
Ha jól emlékszem, az java alapú.
5

Meg jetbrains cuccok, eclipse

BlaZe · 2016. Május. 28. (Szo), 21.32
Meg jetbrains cuccok, eclipse alapú ide-k, jbuilder... kismillió van.
4

Elméletileg nem lehetetlen,

BlaZe · 2016. Május. 28. (Szo), 21.28
Elméletileg nem lehetetlen, de gyakorlatilag azért nem túl valószínű. Inkább nálad volt valami gubanc, vagy a vírusirtóddal. Arról nem is beszélve, hogy tele lenne már vele az internet, azért elég sokan használják.
6

hát...

Pepita · 2016. Május. 28. (Szo), 22.06
Azért egy (több) ilyen jellegű hiányosság valószínűleg nem kerül publikálásra a java.com -on... :)
Azt gondolom, hogy nem véletlenül került ki több böngészőből sem, illetve pl banki rendszerek, amik korábban java környezetben futottak, sorra jönnek ki "java mentesen".
Ez a cikk kissé slendrián és nem tegnap írták, de hirtelen ezt találtam és egy számomra is ismert cucc (CIB) említett benne.
A lényeg az (és ez itt is olvasható), hogy ha elég az alkalmazásodnak egy Java "light", akkor több esélyed marad a biztonságra, ha nem (ilyen pl egy IDE, kell neki minden), akkor gyakorlatilag kinyitod a géped bármelyik Java app számára, nehezítve a víruskereső dolgát azzal, hogy egy virtuális gépen fut a cucc.
Abban is igaza van a szerzőnek, hogy nagyon elterjedt, ezért komoly motivációt jelent a hacker társadalom számára. És mi se lehetne ütősebb annál, mint eleve a jvm-be be mászni?
Azon én picit csodálkozom, hogy a víruskereső megtalálta. De ez 99%., hogy nem hiba... Inkább bénázott aki írta. Szerintem.
7

Azért egy (több) ilyen

BlaZe · 2016. Május. 28. (Szo), 23.29
Azért egy (több) ilyen jellegű hiányosság valószínűleg nem kerül publikálásra a java.com -on... :)
Ezt azért te se gondolod komolyan :) Se az Oracle, se a java nem egy kis mutyi, hogy elkummantsanak egy ilyet. Pláne, hogy azonnal ki is derülne. Ráadásul rendkívül fontos rendszereket írnak javaban. Többek között egyre több (nem pedig kevesebb) és egyre fontosabb banki rendszereket. Ez teljesen irreális elképzelés. Professzionális ember ilyet nem csinál.

Az, hogy az appletben (ami messze nem egyenlő a Javaval) vannak security rések, az nyilvánvalóan létezik. Ahogy abban a böngészőben, amiben ezt olvasod is vannak security rések. És nemkevésbé elterjedt valószínűleg, emiatt nem is kicsit nagyobb célpont a hackereknek.

Azért jönnek le az appletről, mert egyre több mindent meg tudsz csinálni böngészőben, ami kb 15 évvel ezelőtt még azért nem így volt. Egy webbanknál kb fölösleges az applet. Ezért halogat kifelé a flash is. De ennek az égvilágon semmi köze a java update-hez. A JVM-be java kódból amúgy is elég bajosan másznál bele.

Szóval 99% helyett én inkább kb 0% esélyt mondanék arra, hogy az update vírust fog neked letölteni...
8

jvm nem applet

Pepita · 2016. Május. 29. (V), 06.31
Nem mondtam, hogy applet "nyúl bele" jvm-be.
Hanem lényegesen többet ér el a hacker (ek) , ha már a jvm küld pl adatokat, mert akkor ez applet független, mindegy már, mit futtatsz alatta.
A jvm igen összetett , egy pici fv egy DLL ben elég.
Azért elég ciki, hogy bárminek is rossz signal van updater ben...
Azt meg távolról sem tartom hihetőnek, hogy a jvm önmagában Hú de biztonságos...
9

Hanem lényegesen többet ér el

BlaZe · 2016. Május. 29. (V), 07.58
Hanem lényegesen többet ér el a hacker (ek) , ha már a jvm küld pl adatokat, mert akkor ez applet független, mindegy már, mit futtatsz alatta.
Ezt a mondatot nem értem. Minél? Natív appnál? Mi alatt futtatsz mit?

De amúgy sem értem hogy keveredtünk ide. A java update-ről kérdezett inf3rno, amire ott a válasz a linken, kb pont azt írják le, amit ő tapasztalt. Plusz hogy folyamatosan nézik az egész Java package-et több antivirussal fejlesztési és release időben is. A folyamatos code reviewk mellett. Plusz a java update semennyire sem része a jvm-nek, az egy különálló program.

Azt meg távolról sem tartom hihetőnek, hogy a jvm önmagában Hú de biztonságos...

Azt akarod mondani, hogy egy jvm-en futó program kevésbé biztonságos, mint egy natív? Vagy mi itt az állításod? Vagy csak úgy flame-elgetünk érvek és a jvm/java security restrictionök ismerete nélkül?
10

Bár nem tartom valószínűnek,

Hidvégi Gábor · 2016. Május. 29. (V), 09.23
Bár nem tartom valószínűnek, de kizártnak sem, hogy meghackelték a java telepítőt. Elég sűrűn lehet olvasni a jvm sebezhetőségeiről, ezek alapján nyugodtan lehet feltételezni, hogy biztonság terén nincsenek a toppon az Oracle-nél. Tavaly is jópár hasonló kaliberű céghez törtek be, ez is köztudott.

Szerintem inkább arról van szó, hogy valamit elrontottak a build során. Ha valóban vírus lenne, a híroldalak tele lennének vele.
11

Így van

Pepita · 2016. Május. 29. (V), 10.00
Szerintem is csomag hiba, mint elsőre is írtam.
Az, hogy bakizgatnak, nem újdonság.
De én csak flame elek... :)
12

Egyelőre még nem indítottam

inf3rno · 2016. Május. 29. (V), 10.03
Egyelőre még nem indítottam újra a java-t. Mindig alvó állapotra megyek. :-) Azt hiszem az lesz a vége, hogy újratelepítem, mert ki tudja mi ment fel a gépre ezzel az update-el, főleg így, hogy a fele dll-t elfogadta, a másik felét meg nem.
14

Szerintem is tedd ezt, főleg

BlaZe · 2016. Május. 29. (V), 15.13
Szerintem is tedd ezt, főleg ha jól értem belenyúlt kicsit az antivírus.
13

Elég sűrűn lehet olvasni a

BlaZe · 2016. Május. 29. (V), 15.07
Elég sűrűn lehet olvasni a jvm sebezhetőségeiről, ezek alapján nyugodtan lehet feltételezni, hogy biztonság terén nincsenek a toppon az Oracle-nél.
Ahogy a microsoftnál, a linuxéknál, googlenél, mozillánál stb se, hisz minddel kapcsolatban gyakran lehet ilyeneket olvasni. Tehát biztos ott se értenek hozzá :)

Szerintem inkább arról van szó, hogy valamit elrontottak a build során.
Nem túl valószínű, már rég javították volna. Április közepén jött az utolsó java verzió, és elég gyorsan szoktak reagálni az ilyesmire. Meg nem is emberek rakják össze szerintem ott se a release-eket, hanem automata build toolok, amiknek egész biztosan része a vírus és aláírás ellenőrzés stb. Sokkal valószínűbb, hogy inf3rnonál ment valami félre.
15

Ahogy a microsoftnál, a

Hidvégi Gábor · 2016. Május. 29. (V), 15.31
Ahogy a microsoftnál, a linuxéknál, googlenél, mozillánál stb se, hisz minddel kapcsolatban gyakran lehet ilyeneket olvasni. Tehát biztos ott se értenek hozzá :)
Teljesen nyilvánvaló, hogy nem értenek a biztonsághoz a többiek sem.
16

Ez azért elég valószínűtlen.

BlaZe · 2016. Május. 29. (V), 16.54
Ez azért elég valószínűtlen. Ha így lenne, vennének fel olyan embereket, csapatot, akvirálnának olyan céget, aki ért hozzá. A komplexitás, és a legnagyobb tudás mellett is tökéletlen emberi megoldások inkább felelősek érte. Máskülönben kijavítani se tudnák.
17

Komplexitás

Hidvégi Gábor · 2016. Május. 29. (V), 17.59
Naná, hogy az, de le sem kezdtem írni, mert ez tiltott téma itt, a Weblaboron.
18

Utólag

Hidvégi Gábor · 2016. Május. 30. (H), 11.31
Blaze, utólag én is kijavítok bármilyen hibát. Akkor én értek a biztonsághoz?
19

Ha rövid időn belül képes

BlaZe · 2016. Május. 31. (K), 07.23
Ha rövid időn belül képes vagy átlátni, kijavítani és letesztelni bármilyen bonyolultságú hibát, azonnal jelentkezz hozzánk! Esetleg a NASA-hoz, náluk is biztos jól jön ez a skill :)