В Java обнаружена 0-day уязвимость

1 марта 2013 года

Спустя чуть больше недели с момента выхода корректирующих обновлений Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей, в Сети зафиксирована вредоносная активность, поражающая системы пользователей через ранее неизвестную 0-day уязвимость (CVE-2013-1493) в браузерном Java-плагине. Уязвимость используется для распространения вредоносного ПО McRAT, поражающего Windows-системы при открытии специально модифицированных страниц на подконтрольных злоумышленникам сайтах.

Уязвимость позволяет осуществить запись и чтение произвольных областей памяти JVM. В процессе эксплуатации осуществляется поиск области памяти, в которой хранятся внутренние структуры данных JVM, после чего осуществляется обнуление участков данных областей с целью дезактивации менеджера безопасности. После успешной эксплуатации, под видом изображения осуществляется загрузка исполняемого файла McRAT и попытка его запуска.

Кроме того, имеется информация о включении нового 0-day эксплоита в типовые комплекты для совершения атак. Интересно, что распространяемый с использованием 0-day эксплоита троян Trojan.Naid, подписан с использованием корректного сертификата, полученного в результате атаки (Архивная копия от 6 сентября 2015 на Wayback Machine) на инфраструктуру Bit9. До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.

Дополнение: Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, сообщил, что после выпуска Java SE 7 Update 15 ему удалось выявить две неисправленные проблемы, которые в сочетании друг с другом позволяют обойти sandbox-ограничения Java (проблемы основаны на особенностях работы Reflection API и не связанны с вышеописанной 0-day уязвимостью). Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, который отправлен компании Oracle вместе с детальным описанием сути проблемы. Примечательно, что в ответ компания Oracle заявила, что первая из проблем не является уязвимостью и не выходит за рамки допустимого поведения Reflection API, несмотря на то, что данная особенность является необходимым условием для проявления второй проблемы.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «В Java обнаружена 0-day уязвимость», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.