Java 7 Update 10 posiada krytyczną lukę

Java 7 Update 10 posiada krytyczną lukę

    przez -
    26 633
    java logo
    Do publicznej wiadomości podano istnienie groźnej, zdawałoby się, nieznanej wcześniej luki we wtyczce Javy. Okazuje się jednak że firma Oracle, odpowiedzialna za wtyczkę, wiedziała o błędzie już w sierpniu 2012, a w październiku wydała poprawkę, niestety niepełną. Obecnie luka ta jest już powszechnie wykorzystywana przez złośliwe strony internetowe, które mogą przejąć kontrolę nad naszym komputerem. Dla bezpieczeństwa zalecane jest wyłączenie wtyczki lub jej całkowite usunięcie.

    Podobne artykuły

    • prof T'alent

      Java to nowe IE

    • o_O

      Nie rozumiem po co Java w przeglądarce.
      Tak samo jak ActiveX.
      Wszystkie "strony", które ich używają są po prostu źle napisane i nadają się do śmieci i zastąpienia porządnym rozwiązaniem. Po co takie kupy jak serwis giełdowy PKO czy inne aplikacje webowe używają Javy albo ActiveXa? To samo można zrobić w zwykłym HTMLu i JavaScript. Tylko trzeba umieć, a nie być amatorem od klepania apletów Javy.

      • marcinsud

        Tak samo stronka nvidii potrzebuje apletu javy by określić posiadany sprzęt.

      • guitarrizer

        Do tego wiele stron ma czaty oparte o Javę, choćby te na Wirtualnej Polsce. Na niektórych portalach sprawdzenie poczty jest mocno niewygodne, gdy wtyczka Javy jest wyłączona… Po prostu zło konieczne.

      • Kenji

        W tym właśnie sęk, że to jest zło NIEkonieczne. Jeszcze pobieranie informacji o sprzęcie mogę zrozumieć, ale czat w Javie? W czasach HTML5 i WebSocketów?

      • Witek

        Czat i wykresy to można pewnie obecnie zrobić bez Javy, ale np. applet który w czasie rzeczywistym robi transformacje fouriera narysowanej przez użytkownika funkcji już trudniej.

      • Kenji

        Myślę, że by się dało. Chociaż zgadzam się też, że za pewne byłoby z tym obecnie więcej roboty niż w Javie. Dajmy tym nowinkom ochłonąć trochę, niech się pojawią odpowiednie biblioteki, itd. :).

      • mikolajs

        Nie chodzi o możliwość zrobienia tylko o wydajność. JavaScript jednak jeszcze nie jest tak wydajna jak Java.

      • prof T'alent

        JVM jest tylko 1.78 razy wydajniejsza od silnika v8 z chrome.

      • prof T'alent

        W najgorszym przypadku 5x.

      • pijaczek

        JS nigdy tak wydajna nie będzie jak kod pośredni (optymalizacja dokonywana offline i juz zoptymalizowany kod binarny wykonuje VM) czy języki natywne – to język interpretowany (czytaj musi dodatkowo kod przetworzyć i zoptymalizować, zanim wykona)… jeśli by był tak samo szybki lub szybszy to niezbyt dobrze by to świadczyło o VM czy kompilatorze.

      • prof T'alent

        Gadasz jakieś masło maślane. JVM też musi przetworzyć bytecode i go optymalizować w locie. Inaczej by nie była taka wydajna, gdyby tylko zamieniali bytecode na szablony kodu maszynowego. Mają pewne podskórne zasady, które tworzą wydajny kod na podstawie charakterystyk wykorzystania poszczególnych jego części.

        W maszynie v8 też jest JIT. Kompilator tworzy wersję pośrednią kodu – mniej optymalizowaną i na podstawie schematów jej użycia tworzona jest wersja bardziej zoptymalizowana. Dzieje się to dość agresywnie, ale pozwala to na wyprzedzenie topowych języków interpretowanych o jakieś 10..30x. Wydajność w porównaniu z C jest 3.5 razy mniejsza.
        W odróżnieniu od C/C++, którego semantyka jest tworzona tak by kod był możliwie wydajny, maszyna JS ma pewne schematy, które pozwalają na wykorzystanie maksymalnie optymalizacji kodu. Opierają się głównie na takich samych cechach jak starsi bracia – trzymanie się jednakowych typów w zakresie zmiennych, tablic i argumentów, oraz indeksowanie tablic od 0.

      • MikolajS

        Dopóki JS nie będzie typowany statycznie to nie osiągnie szybkości Javy. Przy okazji sprawdź ile pamięci pożera v8, Java przy nim to nic. :)

      • prof T'alent

        Jest typowany niejawnie. Na razie statycznie typowane są typed arrays i są bardzo wydajne. Typowanie statyczne jest w planach, ale nikt nie twierdzi, że to poprawia wydajność. To poprawia czas kompilacji.

      • MikolajS

        Skoro JS uruchamia się z pliku tekstowego to czas kompilacji zalicza się do czasu wykonania. Poza tym niemożliwość określenia w momencie kompilacji typu zmienej wymaga wykrywania typów w czasie działania, a to kosztuje. I zazwyczaj kompilacja jest dłuższa przy typowaniu statycznym, a nie dynamicznym. W przypadku języka w formie skryptu, nie wiadomo na co stawiać, bo zależy to od wielkości i czasu działania programu. Chyba z tego powodu Firefox w ostatniej wersji używa dwóch różnych silników JS.

      • guitarrizer

        @Kenji

        Wątpię, by admini Wirtualnej zadośćuczynili moim prośbom o pozbycie się Javy z ich systemu, tak samo jak wątpię, by spore grono znajomych z czata chętnie zmieniło swoje przyzwyczajenia po moich sugestiach i przeniosło się gdzie indziej. Niestety żyjemy w czasach, gdzie "większość ma demokratyczną rację", a mając inną rację od ogólnie przyjętej traktowanym się jest jak jakiś sekciarz.

        Sprawę poczty można rozwiązać np. Thunderbirdem, co nie jest z kolei wygodne, gdy sprawdzamy maile na kilku różnych komputerach i nie tylko własnych.

      • Kenji

        Czyli "vendor lock-in" ;).

      • tomangelo

        Podejrzewam że czaty i podobne rozwiązania oparte na Javie były i jeszcze przez pewien czas mogą być złem koniecznym. HTML5 nie jest jeszcze w pełni ukończony.

      • Kenji

        Czym się nikt już od jakiegoś czasu nie przejmuje za bardzo. Wszystko, co trzeba do tego typu aplikacji (czyli w sumie websockets. I oczywiście js) już od dawna jest we wszystkich znaczących przeglądarkach.

    • mikolajs

      Na Ubuntu na stronie gdzie jest aplet IcedTea pyta czy ma uruchomić za pierwszym razem i to jest wystarczające jak dla mnie zabezpieczenie. Tam gdzie muszę używać i chcę uruchamiam, gdzie indziej dziękuję.

      • marcinsud

        To chyba normalne zachowanie javy jako takiej. Problem w tym, że można tak zrobić stronę by użytkownik myślał, że musi uruchomić plugin, by korzystać ze strony lub po prostu liczyc na to, że nie czyta i klika "dalej", "ok" i temu podobne przyciski z automatu.

      • Kenji

        A takich "auto-klikaczy" jest wielu. I to oni są głównym targetem twórców złośliwego oprogramowania, nie zaś jeden mikolajs, który to sobie zablokuje.

      • mikolajs

        Dlatego Ubuntu jest lepsze dla nieświadomych klikaczy, bo nie zainstalują sobie IcedTea klikając na link i nie wiedząc co robią ;)

    • Pingback: Oracle Java 7 Update 11 naprawia krytyczną lukę | OSWorld.pl()

    • Witek

      Właśnie wyszła łata od Oracle.