В новой Java 7 Update 7 нашли серьезную уязвимость

Сотрудники по ИТ-безопасности из компании, что находится г. Польша, под названием Security Explorations заявили об обнаружении некотором недостатке в секьюрити-апдейте как Java 7, который был выпущен несколько дней тому назад.

Кроме того, в компании заявили, что данная уязвимость или недостаток помогает обойти "песочницу" Java и проделать губительный вредоносный код в самой целевой системе. Так, в частности, сотрудники Security Explorations высказывают, что уже передали сведения о недостатках и уязвимостях в Oracle вместе с концептуальным эксплоитом, который выполнял взлом Java в целях некоторого теста. Адам Говдиак (Генеральный директор фирмы Security Explorations) говорит, что еще его компания никак не может опубликовать технических подробностей о недостатках и уязвимостях для того, чтобы дать Oracle некоторое время на устранение данной проблемы. Кроме этого, хочется отметить, что традиционно Oracle осуществляет для своих продуктов исправления раз в один квартал, однако на данной неделе для Java 7 был выполнен очередной апдейт, при котором фирма закрывала 3 критических уязвимости, данные о которых стала уже доступны многим пользователям, а многие хакеры активно применяли уязвимости для проведения очередных атак. Также Java 7 Update 7 должна была устранить от проблем security-in-depth, которая и не эксплуатировалась, так скажем, напрямую, все же представляла собой опасность.

В польской компании предполагают, что работы, которые проводили Oracle в плане устранения некоторых проблем в Java Virtual Machine, просто оказались неуспешными и нерезультативными, и в продукте все еще присутствуют недостатки и уязвимости, связанные с работой изолированного исполнения (еще ее называют песочницей). Говдиак предполагает, что в апреле его известная компания передала информацию о почти 3-х десятках недостатков в Java 7 от Oracle, но по сегодняшний день не все их удалось устранить, а 2 уязвимости просто располагаются в фазе успешной эксплуатации. Кроме того, в компании заявили, что Oracle устранила методы getMethod и getField из класса как sun.awt.SunToolkit, что помогло избавиться от POC-эксплоитов. С другой стороны здесь возникла возможность обойти песочницу в JVM, и это представляет собой большую и опасную угрозу. Кроме того, в этой известной польской компании также сообщают, что они не знают, когда последние уязвимости будут устранены. Есть предположение, что, возможно, не ранее шестнадцатого октября, когда компания Oracle выпустит свои очередные квартальные наборы патчей для продуктов фирмы.



Опубликовал admin
4 Сен, Вторник 2012г.



Программирование для чайников.