Для Java подготовлен эксплоит, базирующийся на новой 0day-уязвимости

17 января 2013 года

Спустя всего несколько дней после выхода внепланового обновления Java SE 7 Update 11 с устранением активно эксплуатируемой в сети уязвимости, появилась информация о создании эксплоита, основанного на новой уязвимости. Эксплоит пока не доступен широкой публике и не интегрирован в типовые пакеты для распространения вредоносного ПО, но уже продаётся на профильном форуме по цене $5000 и его приобрели как минимум два покупателя. Продавец достаточно известен в своих кругах и имеет устоявшуюся репутацию, поэтому маловероятно, что эксплоит фиктивный. По предварительному анализу, проведённому представителями сообщества OpenJDK, в последнем выпуске Java SE 7 Update 11 устранён лишь частный случай уязвимости, но не исключено задействование других техник эксплуатации.

Напомним, что эксперты по компьютерной безопасности не раз выступали с критикой Oracle из-за затягивания исправления уязвимостей, информация о которых передаётся в Oracle в частном порядке, без публичного оглашения. С момента отправки уведомления до исправления уязвимости могут пройти многие месяцы, например, известно о наличии в Java неисправленных проблем безопасности, информация о которых была отправлена ещё в апреле 2012 года (рекордом является выпуск исправления уязвимости спустя два года после уведомления о её наличии).

Дополнение: Выявлено наличие двух неисправленных уязвимостей в Java SE 7 Update 11, исследователи безопасности направили в Oracle прототип рабочего эксплоита.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Для Java подготовлен эксплоит, базирующийся на новой 0day-уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.