Специалисты по ИТ-безопасности из польской компании Security Explorations сообщили об обнаружении уязвимости в секьюрити-апдейте Java 7, выпущенным менее суток назад. В компании говорят, что обнаруженная уязвимость позволяет обойти "песочницу" Java и выполнить потенциальный вредоносный код в целевой системе. В Security Explorations говорят, что уже передали данные об уязвимости в Oracle вместе с коцептуальным эксплоитом, выполняющим взлом Java в тестовых целях.
Генеральный директор Security Explorations Адам Говдиак говорит, что пока его компания не публикует технических подробностей об уязвимости, чтобы дать Oracle определенное время на устранение проблемы.
Напомним, что традиционно Oracle выпускает для своих продуктов исправления раз в квартал, но на этой неделе для Java 7 был выпущен внеочередной апдейт, в котором компания закрывала три критических уязвимости, информация о которых стала доступна широкой общественности, а хакеры начали активно использовать уязвимости для проведения атак.
Java 7 Update 7 также должна была избавиться от проблемы security-in-depth, которая хотя и не эксплуатировалась напрямую, все же представляла опасность. В польской компании говорят, что работы, проведенные Oracle в плане устранения проблем в Java Virtual Machine, оказались неэффективными и продукте по-прежнему присутствуют уязвимости, связанные с работой среды изолированного исполнения (так называемой песочницей).
Говдиак говорит, что еще в апреле его компания передала данные о почти трех десятках уязвимостей в Java 7 корпорации Oracle, однако по сей день не все из них устранены, а две уязвимости находятся в фазе активной эксплуатации. В компании говорят, что Oracle удалила методы getField и getMethod из класса sun.awt.SunToolkit, что позволило избавиться от так называемых POC-эксплоитов, но с другой стороны здесь появилась возможность обхода песочницы в JVM, что представляет собой не менее опасную угрозу.
В польской компании говорят, что не знают, когда последняя уязвимость будет устранена. Возможно, что не ранее 16 октября, когда Oracle выпустит очередной квартальный набор патчей для своих продуктов.
Источник: CyberSecurity
|
