![[HaBo]](/styles/default/logoklein.png){kind=small}
Ich wollte mal fragen, ob's im Hackerboard jemanden gibt, der sich für die internen Ursachen dieser 0-Day-Lücke interessiert und eventuell weitere Einsichten dazu hat...
Interessant am Fall:
1. Die Art, wie ein vielstufiges, komplexes System für indirekte Zugriffe, in dem sämtliche Komponenten untereinander lückenlos abgedichtet sein müßten, durch einen Lapsus in einer weit jenseits des Entwickler-Aufmerksamkeitsradius liegenden Komponente komplett (restlos) aus dem SecurityManagement ausgehebelt wird.
2. Die Art, wie dieses komplexe System (Reflection + Toolkits) benutzt wird, um den Keil in den Riß zu setzen. Und natürlich generell eine gute Übung zum Reflection-API.
===================
Primäre Veröffentlichungen:
Malware Intelligence Lab from FireEye - Research & Analysis of Zero-Day & Advanced Targeted Threats:Zero-Day Season is Not Over Yet
New Java 0day exploited in the wild - Alienvault Labs
DeepEnd Research: Java 7 0-Day vulnerability information and mitigation.
====================
Diskussion bei Heise-Security:
Warnung vor kritischer Java-Lücke | heise security news-Foren
====================
Experimente:
Vulnerability "Java Security System Breach" 2012-08-27
Interessant am Fall:
1. Die Art, wie ein vielstufiges, komplexes System für indirekte Zugriffe, in dem sämtliche Komponenten untereinander lückenlos abgedichtet sein müßten, durch einen Lapsus in einer weit jenseits des Entwickler-Aufmerksamkeitsradius liegenden Komponente komplett (restlos) aus dem SecurityManagement ausgehebelt wird.
2. Die Art, wie dieses komplexe System (Reflection + Toolkits) benutzt wird, um den Keil in den Riß zu setzen. Und natürlich generell eine gute Übung zum Reflection-API.
===================
Primäre Veröffentlichungen:
Malware Intelligence Lab from FireEye - Research & Analysis of Zero-Day & Advanced Targeted Threats:Zero-Day Season is Not Over Yet
New Java 0day exploited in the wild - Alienvault Labs
DeepEnd Research: Java 7 0-Day vulnerability information and mitigation.
====================
Diskussion bei Heise-Security:
Warnung vor kritischer Java-Lücke | heise security news-Foren
====================
Experimente:
Vulnerability "Java Security System Breach" 2012-08-27
