Последняя уязвимость в Java вызвала большой переполох в ИТ-сообществе
Последняя критически опасная уязвимость в среде Java стала общеизвестной менее недели назад, но уже успела наделать немало шума в ИТ-среде, так как она, во-первых, позволяет внедрить через браузер на компьютер-жертву любой файл и исполнить его, а во-вторых, эксплоит для нее уже активно распространяется в сети. В самой Oracle, отвечающей за развитие Java, признают опасность уязвимости и говорят, что работают над исправлением. В предстоящий вторник компания планирует выпустить 86 исправлений для своих продуктов, однако будет ли среди них патч для Java - не известно.
Независимые специалисты говорят, что в отличие от многих других уязвимостей Java-уязвимости опасны тем, что Java имеет гигантскую пользовательскую базу - более 1 млрд устройств, а кроме того, Java работает на большинстве современных мобильных, серверных и настольных платформ, поэтому под ударом в большинстве случаев оказываются пользователи множества систем сразу.
В польской ИТ-компании Security Explorations в пятницу заявили, что в Европе и Северной Америке последняя Java-уязвимость уже активно используется злоумышленниками и компания зафиксировала несколько активных попыток вторжения. Адам Говдиак, ИТ-специалист Security Explorations, говорит, что Java-уязвимость касается только Java 7 и всех ее обновлений, включая последний на данный момент Update 10. Другие версии Java проблеме не подвержены.
Он также отметил, что сама по себе уязвимость, вероятнее всего, возникла из-за бага, о котором Oracle предупреждали еще в августе. Обозначенную тогда проблему компания закрыла, но не полностью. Баг связан с тем, как Java обрабатывает заголовки входящих параметров. "Баги в последнее время напоминают сорняки: вы выдергиваете один, а на его месте вырастают еще два. Похоже, что Oracle слишком рано завершила бороться с такими сорняками", - говорит Говдиак.
В пресс-службе Oracle заявили, что баг работает только в JDK 7 и вектор атак проявляется только в случае браузерных запросов. Также в компании заявили, что проблема связана с методом Class.forName(), позволяющим загружать программе другие, в том числе и ограниченные классы.
Специалисты по информационной безопасности отнеслись крайне серьезно к данной проблеме, так как Java используется еще и в массе корпоративных программ, а также программ для автоматизации бизнеса и управления производством. В четверг и пятницу американские и немецкие регуляторы персональных данных уже выпустили официальные заявления, согласно которым они рекомендуют другим государственным пользователям полностью отказаться от использования Java до выхода надлежащего исправления.
В субботу антивирусная компания Sophos сообщила, что она зафиксировала новый образец вредоносного программного обеспечения Mal/JavaJar-B, который как раз эксплуатирует рассматриваемую Java-уязвимость. Код работает на всех версиях Java 7, включая последнюю Java 7 Update 10, кроме того Sophos заявила, что вредонос работает не только под Windows, но также под Unix и Linux. Также в Sophos говорят, что проблема в Java уже была добавлена в пентестеры Blackhole и NuclearPack.
В компании Apple говорят, что хотя под их ОС пока и не зафиксировано вредоносных кодов, они временно внесли Java-плагин для браузера Safari в черный список приложений и ОС с браузером не будут использовать его до тех пор, пока он не будет разблокирован. Напомним, что черные списки располагаются в системном файле Xprotect.plist.
Оставьте Ваш комментарий или мнение о новости: Последняя уязвимость в Java вызвала большой переполох в ИТ-сообществе Просим Вас оставлять сообщения по теме и уважать своих собеседников и авторов новостного сообщения.
.gif){kind=small}
.gif){kind=small}
