eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiAwaria Pl@netyRe: Awaria Pl@nety
« poprzedni post
  • Data: 2002-12-13 13:05:31
    Temat: Re: Awaria Pl@nety
    Od: "blad" <b...@W...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Użytkownik "Vizvary II Istvan"
    > Oczywiście cały cza pozostanie kwetia otwarta, czy MSIE jest godny
    zaufania,
    > a przynajmniej do tego stopnia, by zdecydować o tym kto jest godny
    zaufania
    > a kto nie.

    pare dni temu MS oglosil szereg patchy VM Java - warto zrobić WindowsUpdate
    *** blad ***

    Microsoft (Java) Virtual Machine - VM - zawiera szereg bledow
    umozliwiajacych nastepujace ataki, ktore pozwalaja na penetracje systemu:

    COM Object Access Vulnerability: CVE-CAN-2002-1257
    aplet Javy, ktory nie jest zaufany (untrasted) moze miec dostep do
    obiektow COM. Jest to niezgodne z zalozeniem modelu bezpieczenstwa. Co
    wiecej dostep do obiektow COM moze umozliwic penetracje systemu.

    CODEBASE Spoofing Vulnerabilities: CVE-CAN-2002-1258
    mozliwosc oszukania maszyny wirtualnej Javy co do lokalizacji kodu Javy.
    Pozwala to na dostep do dowolnego katalogu na dysku z poziomu kodu w Javie.
    Domyslnie z poziomu kodu w Javie dostep do plikow powinnie byc ograniczony
    do katalogu w ktorym znajduje sie kod, na skutek bledu tak jednak nie jest.
    Pozwala to na penetracje systemu.

    Domain Spoofing Vulnerability: CVE-CAN-2002-1259
    mozliwosc zaladaowania poprzez adres URL apletu Javy z innego sajtu niz
    spodziewa sie maszyna wirtualna Javy. Pozwala to na ladowanie niezaufanych
    apletow i prezentacje ich jako pochodzacych z zaufanego zrodla.

    JDBC API Vulnerability: CVE-CAN-2002-1260
    maszyna wirtualna Javy nie zabrania apletom Javy wykorzystywac API JDBC,
    co pozwala atakujacemu na modyfikacje zawartosci baz danych poprzez JDBC. W
    takim przypadku jedyna ochrona bazy danych sa prawa dostepu zaimplementowane
    na jej poziomie.

    Standard Security Manager Access Vulnerability: CVE-CAN-2002-1261
    mozliwosc czasowego wylaczenie ladowania / uruchamiania sie niektorych
    obiektow Javy. Pozwala to na przeprowadzenie ataku typu DoS poprzez dodanie
    legalnych obiektow Javy do listy blokowanych obiektowych prowadzonej przez
    Standard Security Manager (element VM)

    User.dir Exposure Vulnerability: CVE-CAN-2002-1262
    mozliwosc poznania przez atakujacego nazwy uzytkownia w lokalym systemie

    Incomplete Java object Instantiation Vulnerability: CVE-CAN-2002-1263
    mozliwosc zawieszenia Internet Explorera poprzez odpowiedni aplet Javy.


Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy