Обновления от Oracle не исправляют уязвимостей в Java

Posted: Январь 16, 2013 in Компьютеры, Программы

Java 7Эксперты советуют всем компаниям отключить Java на компьютерах всех сотрудников.

Компания Oracle выпустила экстренное обновление своего программного обеспечения Java в минувшие выходные, которые должны были предотвратить основной недостаток IT-безопасности в ПО. Однако эксперты заявляют, что обновление не работает. Напомним, что обновление было выпущено после того, как Департамент национальной безопасности США призвал пользователей персональных компьютерах отключить Java на своих устройствах из-за наличия уязвимости.

Обнаруженная уязвимость использовалась злоумышленниками для осуществления кражи личности и других преступлений. Об этом сообщали представители Департамента национальной безопасности США.

Адам Гаудиак (Adam Gowdiak), исследователь в области информационной безопасности из Польши, который в прошлом году обнаруживал несколько уязвимостей в Java, заявил, что обновление от Oracle не устраняет все существующие бреши.

В настоящее время некоторые компании, работающие в области информационной безопасности, советуют предприятиям удалить Java из браузеров всех сотрудников.

Представители Rapid7 считают, что для того, чтобы исправить все ошибки безопасности в Java, Oracle потребуется не менее двух лет. Некоторые эксперты отмечают, что Java всегда будет уязвимым, и более того люди не должны его использовать.

В компании Oracle отметили, что выпущенные обновления касаются двух уязвимостей в Java 7 для web-браузеров. Помимо этого, настройки безопасности Java теперь по умолчанию включены на высокий уровень для того, чтобы вредоносные программы не могли запускаться на ПК пользователя без его ведома.

Напомним, что авторы таких известных наборов эксплоитов, как Blackhole и Nuclear Pack, утверждают, что в них перед Новым годом был добавлен новый эксплоит, атакующий ранее неизвестную и в настоящий момент не устраненную уязвимость в Java.

Так, 9 января текущего года разработчик Blackhole – хакер, скрывающийся под псевдонимом «Paunch», заявил сразу на нескольких подпольных форумах, что уязвимость нулевого дня в Java является «новогодним подарком» для тех, кто пользуется его набором эксплоитов. Вскоре аналогичные сообщения поступили от разработчиков и распространителей Nuclear Pack.

По данным авторов вредоносного ПО, описанная ими уязвимость существует во всех версиях Java 7, в том числе в Java 7 Update 10.

Стоит отметить, что официальных комментариев по этому поводу от компании Oracle в настоящий момент не поступало. В то же время, 10 января, эксперты по информационной безопасности из компании Alienvault Labs подтвердили, что эксплоит действительно работает даже при наличии всех последних обновлений.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s