Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Виртуальную машину Microsoft Java подремонтировали


Если вдруг злокозненному администратору сайта заблагорассудится продвинуть свой ресурс, уязвимость виртуальной Java-машины пользователя позволит ему навещать другие сайты под личиной невинного пользователя и пересылать информацию на свой сайт.

Виртуальная машина для среды Win32 является надстройкой для Microsoft Windows 9х/NT/2000, входя во все ОС, а заодно и Internet Explorer. Версии виртуальной машины, включенные в IE 4.x и 5.x, имеют дыры, позволяющие Ява-апплету действовать за пределами своей "песочницы".

По идее, апплет должен иметь возможность общаться только с "родным" сайтом. Однако дыра позволяет апплету обойти это ограничение. Если пользователь посетит сайт злокозненного веб-мастера, этот сайт может запустить апплет, устанивливающий связь с другим сайтом и передающий информацию сеанса связи "злодею".

При этом сеанс будет проходить под личиной зашедшего на сайт пользователя, т.е. хакер может производить вредоносные манипуляции, не раскрывая своей истинной личности. Кроме того, благодаря этой дыре можно проникнуть в локальную сеть, защищенную брандмауэером, и получить информацию из нее под видом пользователя, имеющего вполне легальный доступ.

Заплатку можно получить на сайте Microsoft.

Computerra.Ru


<== Back to main page