Новая уязвимость в Java SE 7 Update 7

image

Не прошло и суток с момента, когда Oracle выпустила внеочередной апдейт Java 6 и 7 от 30 августа, как польская компания Security Explorations сообщила об обнаружении новой уязвимости. Один из специалистов Security Explorations говорит, что в сочетании с уже известными ранее уязвимостями новый баг даёт возможность написания эксплойта с полным выходом за пределы песочницы JVM и выполнения произвольного кода на компьютере жертвы.

Напомним, что именно польская компания Security Explorations обнаружила 31 уязвимость в Java, о которых сообщила Oracle в апреле 2012 года. Некоторые из них были закрыты в июньском плановом апдейте, ещё четыре — в недавнем внеочередном апдейте, однако больше половины уязвимостей не закрыты до сих пор.

В сообщении из списка рассылки Bugtraq сотрудник компании Security Explorations Адам Говдяк (Adam Gowdiak) пишет, что патч Oracle устраняет вектор атаки с использованием класса sun.awt.SunToolkit за счёт устранения методов getField и getMethod из этого класса, так что созданные ранее эксплойты для выхода из песочницы перестают работать. Однако, сейчас специалисты компании нашли новый способ, как осуществить выход и песочницы, используя незакрытые уязвимости. Код с демонстрацией эксплойта (Proof of Concept) отправлен в компанию Oracle.

Таким образом, воплощается в жизнь прогноз известного хакера H.D.Moore, который предсказывал появление новых эксплойтов для Java в ближайшее время, несмотря на выпуск патча. Судя по всему, рекомендация отключить плагин Java в браузерах скоро опять может стать актуальной.

Подробнее: http://www.xakep.ru/post/59255/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Новая уязвимость в Java SE 7 Update 7 | | 2012-09-03 05:00:00 | | Статьи об Интернет безопасности | | Не прошло и суток с момента, когда Oracle выпустила внеочередной апдейт Java 6 и 7 от 30 августа, как польская компания Security Explorations сообщила об обнаружении новой уязвимости. Один из | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: