[Vnoukoff]

По материалам сайта cybersecurity.ru:

читать дальше »

"Специалисты по ИТ-безопасности из польской компании Security Explorations сообщили об обнаружении уязвимости в секьюрити-апдейте Java 7, выпущенном менее суток назад. В компании говорят, что обнаруженная уязвимость позволяет обойти "песочницу" Java и выполнить потенциальный вредоносный код в целевой системе. В Security Explorations говорят, что уже передали данные об уязвимости в Oracle вместе с коцептуальным эксплоитом, выполняющим взлом Java в тестовых целях"...
"Java 7 Update 7 также должна была избавиться от проблемы security-in-depth, которая хотя и не эксплуатировалась напрямую, все же представляла опасность. В польской компании говорят, что работы, проведенные Oracle в плане устранения проблем в Java Virtual Machine, оказались неэффективными и в продукте по-прежнему присутствуют уязвимости, связанные с работой среды изолированного исполнения (так называемой песочницей).

Говдиак говорит, что еще в апреле его компания передала данные о почти трех десятках уязвимостей в Java 7 корпорации Oracle, однако по сей день не все из них устранены, а две уязвимости находятся в фазе активной эксплуатации. В компании говорят, что Oracle удалила методы getField и getMethod из класса sun.awt.SunToolkit, что позволило избавиться от так называемых POC-эксплоитов, но с другой стороны здесь появилась возможность обхода песочницы в JVM, что представляет собой не менее опасную угрозу.

В польской компании говорят, что не знают, когда последняя уязвимость будет устранена. Возможно, что не ранее 16 октября, когда Oracle выпустит очередной квартальный набор патчей для своих продуктов".