Java 0day 1.7.0.11

[neko]

не прошло и месяца

http://krebsonsecurity[.]com/2013/01/new-jav...5000-per-buyer/

фейк (цена маленькая смущает) ? впрочем если даже правда они врядли обошли попап самой джавы (что в принципе и может быть отражено в цене), если только не подспиздили подпись =)

 

[Falcon]

Подспизженная подпись всеравно выдаёт окно - запрос на запуск подписанного приложения.
А тема с 0деем под 1.7.11 выглядит фейком по неск причинам: 1 - низкая цена, 2 - не очень подходящее время для продажи.

 

[neko]

>> Подспизженная подпись всеравно выдаёт окно - запрос на запуск подписанного приложения.
разве? даже те, которые советует сам оракл от RSA?

 

[madamKury]

2 - не очень подходящее время для продажи.

А что не так со временем, не сезон что ли?

Меня вот больше смущает, что товарищ Кребс перестал выкладывать скриншоты. С одной стороны хорошо, не так явно палит форум, но с другой видать сам не хочет спалится :crazy:

 

[neko]

madamKury
>> А что не так со временем

сразу после закручивания гаек со стороны оракла, если бы подождали чутка возможно юзеры привыкли бы к окнам, а сейчас пробив слабо увеличится думаю. С другой стороны возможно они боятся, что сплойт скоро уйдет так или иначе в паблик и старались поскорее слить его за вменяемые деньги. Если конечно все это не фейк от Кребса или неизвестных товарищей.

Кстати ни кто не в курсе, что это за форум был?

 

[GrandSoft]

цена адекват.
В версии 1.7.0.11 джава подняла уровень опасности,раньше был medium, теперь High и теперь все апплеты требуют подтверждения от юзера!!

Потому тут еще спорно, есть ли вообще смысл брать сплойт за 5к.

 

[neko]

GrandSoft
У вас же вроде связка в продаже? Вы как-то заморачивались на определение u11 отдельно, без плагин детекта (там же тоже через java определение)? На мой взгляд лучше определять, тк может источники убивать + палевность связки увеличить.

 

[GrandSoft]

Естстественно 11ой джаве ничего не выдаем.
В плагин детекте не обязательно использовать java апплет для определения версии, точнее я бы сказал что его использовать ненужно вовсе.
Он и так умеент определять версию, например через активХ у мсие или navigator.plugins.

 

[neko]

GrandSoft
мне казалось это не стабильно и врет на номере апдейта (насколько помнится что были проблемы со старыми версиями ие чтоли), впрочем проверю ) а вообще пробив снизился на джаве сейчас, если конечно не секрет?

 

[Aels]

neko
он вырос из за нового 0дея, потому что юзеры неохотно обновляются.
11я все-равно не бьется, и ее нет смысла брать в расчет.

 

[GrandSoft]

Скорее он вырос за счет баги 1.7.0.10 и упал после того как ФФ в очередной раз заблочил джаву.

 

[neko]

так Aels про u10 и говорит )

 

[neko]

GrandSoft
протестил PluginDetect с ie10 и методом без jar (OTF), выдал null вместо версии джавы, надо копать =)

update:
прогнал я, все работает на ie6-ie10

 

[madamKury]

Ребят, а как вам вот это?
ещё две дыры

two new security vulnerabilities were spotted in a recent version of Java SE 7 code and they were reported to Oracle today.

 

[el-]

оффтоп
эти ребята опубликовали отличные доки по яве, где они раскрыли все ( кроме 2ух ) баги из se-2012-01, есть как пеперы с какой то конфы так и сорцы
http://www.security-explorations.com/en/SE...01-details.html

 

[neko]

el-
да там шикарная дока по сендбоксу и не только )