Java задала жару!

Posted: Январь 14, 2013 in Компьютеры, Программы

JavaПоследняя критически опасная уязвимость в среде Java стала общеизвестной менее недели назад, но уже успела наделать немало шума в ИТ-среде, так как она, во-первых, позволяет внедрить через браузер на компьютер-жертву любой файл и исполнить его, а во-вторых, эксплоит для нее уже активно распространяется в сети.

В самой Oracle, отвечающей за развитие Java, признают опасность уязвимости и говорят, что у них уже готово исправление. В предстоящий вторник компания планирует выпустить 86 исправлений для своих продуктов, однако будет ли среди них патч для Java — не известно. Скорей всего Яву придется качать заного.

Независимые специалисты говорят, что в отличие от многих других уязвимостей Java-уязвимости опасны тем, что Java имеет гигантскую пользовательскую базу — более 1 млрд устройств, а кроме того, Java работает на большинстве современных мобильных, серверных и настольных платформ, поэтому под ударом в большинстве случаев оказываются пользователи множества систем сразу.

В польской ИТ-компании Security Explorations в пятницу заявили, что в Европе и Северной Америке последняя Java-уязвимость уже активно используется злоумышленниками и компания зафиксировала несколько активных попыток вторжения. Адам Говдиак, ИТ-специалист Security Explorations, говорит, что Java-уязвимость касается только Java 7 и всех ее обновлений, включая последний на данный момент Update 10. Другие версии Java проблеме не подвержены.

Он также отметил, что сама по себе уязвимость, вероятнее всего, возникла из-за бага, о котором Oracle предупреждали еще в августе. Обозначенную тогда проблему компания закрыла, но не полностью. Баг связан с тем, как Java обрабатывает заголовки входящих параметров. «Баги в последнее время напоминают сорняки: вы выдергиваете один, а на его месте вырастают еще два. Похоже, что Oracle слишком рано завершила бороться с такими сорняками», — говорит Говдиак.

В пресс-службе Oracle заявили, что баг работает только в JDK 7 и вектор атак проявляется только в случае браузерных запросов. Также в компании заявили, что проблема связана с методом Class.forName(), позволяющим загружать программе другие, в том числе и ограниченные классы.

Специалисты по информационной безопасности отнеслись крайне серьезно к данной проблеме, так как Java используется еще и в массе корпоративных программ, а также программ для автоматизации бизнеса и управления производством. В четверг и пятницу американские и немецкие регуляторы персональных данных уже выпустили официальные заявления, согласно которым они рекомендуют другим государственным пользователям полностью отказаться от использования Java до выхода надлежащего исправления.

В субботу антивирусная компания Sophos сообщила, что она зафиксировала новый образец вредоносного программного обеспечения Mal/JavaJar-B, который как раз эксплуатирует рассматриваемую Java-уязвимость. Код работает на всех версиях Java 7, включая последнюю Java 7 Update 10, кроме того Sophos заявила, что вредонос работает не только под Windows, но также под Unix и Linux. Также в Sophos говорят, что проблема в Java уже была добавлена в пентестеры Blackhole и NuclearPack.

В компании Apple говорят, что хотя под их ОС пока и не зафиксировано вредоносных кодов, они временно внесли Java-плагин для браузера Safari в черный список приложений и ОС с браузером не будут использовать его до тех пор, пока он не будет разблокирован. Напомним, что черные списки располагаются в системном файле Xprotect.plist.

В US CERT также заявили, что уже разослали предупреждение всем своим пользователям о критической опасности в Java.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s