Explaining the Apache Struts 2 Remote Code Execution Vulnerability
Innholdsfortegnelse:
- Vulnerablity for sale
- I tillegg til å adressere Zero Day-sårbarhet i søndagens oppdatering, økt Oracle også Java-sikkerhetsinnstillingen til "høy" som standard. "Det betyr at brukeren nå må godkjenne utførelsen av Java-applets som ikke er signert med et gyldig sertifikat, forklarte Jaimie Blasco, leder av AlienVault Labs, i en e-post.
For Oracle er det deja vu igjen.
Bare dager etter at den lanserte en patch for en alvorlig sikkerhetsfeil som ble oppdaget i forrige uke i sitt programmeringsspråk for Java, gjør programvaren overskrifter på nytt fordi en annen tidligere ikke-publisert feil i programmet truer sikkerheten til millioner av PCer som fortsatt kan ha applikasjonen kjørt på den.
Oracle løslatt en feil søndag for en Java-feil så alvorlig at US Department of Homeland Security anbefalte at datamaskinbrukere deaktiverer programvaren, med mindre det var "absolutt nødvendig". [
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]Dette rådet ble gjentatt mandag ved avdelingens Computer Emergency Readiness Team (US-CERT) selv etter at lappen ble gjort tilgjengelig for brukerne.
Vulnerablity for sale
Nå er det bei ng rapporterte at en underholdende Black Hat satser på en ny Zero Day-sårbarhet for den nyeste versjonen av Java (versjon 7, oppdatering 11) til opptil to kjøpere for $ 5000 hver.
Både weaponized og kildekoden versjoner av sikkerhetsproblemet var å være tilbys av selgeren, ifølge sikkerhetsbloggeren Brian Krebs, som oppdaget tilbudet på et eksklusivt forum for nettkriminalitet. Siden Krebs oppdaget tilbudet, sa han at den er fjernet fra forbrytelsesforumet, og foreslår at selgeren fant sine kjøpere for Utnyttelsen.
"Dette burde eliminere eventuelle illusjoner som folk kan ha om sikkerheten til å ha Java installert på en sluttbruker-PC uten å ta forsiktige skritt for å isolere programmet," skrev Krebs.
Denne nyeste Java-utgaven er verre enn den siste fordi ingen vet hva det er, ifølge Bogdan Botezatu, senior e-trusselytiker med antivirusprogramvare Bitdefender.
I den feilrettede søndag forklarte han utnytte kode ble identifisert b Sikkerhetsforskere i noen populære malwarepakker. Med den nyeste feilen, er den bare kjent for selgeren.
"Den nåværende utnyttelsesmetoden vil trolig forbli ukjent for en større tidsramme, noe som også vil øke angripernees muligheter," sa Botezatu i en epost.
Tidligere i uken, noterte Botezatu i en blogg som til tross for lappen som ble presset av Oracle søndag, fortsatte cyberkriminelle å utnytte sårbarheten på ikke-pakkede maskiner for å installere ransomware på dem.
Oracles sikkerhetsbevegelser
I tillegg til å adressere Zero Day-sårbarhet i søndagens oppdatering, økt Oracle også Java-sikkerhetsinnstillingen til "høy" som standard. "Det betyr at brukeren nå må godkjenne utførelsen av Java-applets som ikke er signert med et gyldig sertifikat, forklarte Jaimie Blasco, leder av AlienVault Labs, i en e-post.
Mens dette trekket er et godt skritt mot gjør Java sikrere i en nettleser, bemerket Blasco, det er langt fra en panacea for Java's problemer.
"Tidligere har vi sett at angriperne kunne stjele et gyldig sertifikat for å signere skadelig kode, så det vant ' Ikke overraske meg hvis vi ser denne teknikken blir brukt, sier han.
Siden Java ser ut til å være riddled med sårbarheter, anbefaler Bitdefenders Botezatu at Oracle identifiserer kjerneelementene i programvaren og skriver om den fra grunnen.
Uten tvil, mer enn en liten omskrivning av programvaren vil bli gjort når Oracle slipper den neste versjonen av Java planlagt til september.
Detaljert PC-spill salg falt 14 prosent i 2008, sier forskningsfirma NPD Group, med omsetning på $ 701 millioner ned fra $ 911 millioner i 2007 og $ 961 millioner i 2006. Hvor er alle de fraværende hundrevis av millioner går?
Enkel, si noe.
Selskapet projiserer inntekter mellom US $ 800 millioner og $ 820 millioner for kvartalet som slutter 1. august. Nvidia i mai 13 sa at det forventes at omsetningen i andre kvartaler vil ligge i størrelsesorden $ 950 millioner til $ 970 millioner.
Høyere minnekostnader knyttet til forbruksgrafikkbehandlingsenheter kjørte etterspørselen etter de billigere GPUene, sa Nvidia. "Den økte løsningskostnaden for diskrete GPUer førte til et større enn forventet skifte til lavere GPUer og PCer med integrert grafikk," sa Nvidia i en uttalelse. Diskrete GPUer er separate grafikkort som kan installeres på datamaskinens hovedkort.
Salg i AMDs Computing Solutions-gruppe, som gjør prosessorer for PCer og servere, gikk ned 38 prosent fra i fjor til $ 751 millioner. Dens grafikkbransjevirksomhet gjorde noe bedre, med omsetningen ned 12 prosent til 337 millioner dollar, annonserte AMD i torsdag.
Samlet inntekter for kvartalet, avsluttet 30. mars, var $ 1,09 milliarder, sa AMD. Det rapporterte et netto tap for kvartalet på $ 146 millioner, eller 19 cent per aksje, en forbedring på tapet på $ 590 millioner, eller 80 cent per aksje, året før.