Не успела компания Oracle выпустить внеочередное обновление
к технологии Java после шквала откликов об опасной уязвимости, как появились
новые заявления от независимых экспертов по безопасности – на этот раз, уже
насчет проблем с обновлением. Так, Адам Гаудяк (Adam Gowdiak), генеральный
директор польской компании Security Explorations, сообщил о создании
программы, доказывающей наличие уязвимости в последнем обновлении. Уже 31
августа этот код был передан инженерам Oracle.
Платформу Java в последнее время просто преследуют неудачи.
Сначала выяснилось, что несвоевременное обновление Java для платформы Mac OS X привело
к массовому распространению вируса Flashback, потом оказалось, что данные о
новой критической уязвимости (которую, как раз, должно закрывать исправление от
30 августа) поступили еще в апреле 2012 года. Последние события вообще бросают
тень на репутацию инженеров Oracle, которые, устранив одну уязвимость,
открыли новую, ничуть не менее серьезную. По мнению исследователей, нашедших
проблему во внеочередном обновлении Java 7 Update 7, на этот раз злоумышленник
может захватить полный контроль над компьютером жертвы. Немного скрашивает
ситуацию лишь то, что пока в «диком виде» не обнаружены эксплойты, использующие
данную уязвимость.
Как рассказывает Гаудяк из фирмы Security Explorations,
поиск проблемы занял у специалистов всего 2-3 часа, причем, вручную. На данный
момент фирма Security Explorations отказывает обсуждать технические детали
проблем, чтобы не облегчать задачу злоумышленникам при атаках через почту или
веб-страницы. Известно, что обнаружение уязвимости произошло, когда специалисты
пытались исправить код проверки уязвимости, переставший работать после выхода
исправления Java 7 Update 7.
Крайне скупая реакция Oracle на последние события вновь
породила целую волну призывов к удалению Java со всех компьютеров, где она не
используется для обязательных задач. Стоит также заметить, что многие
приложения, заявляющие о невозможности работы без Java, на самом деле вполне
или почти успешно работают без программного обеспечения под маркой Oracle. Например,
пакет Adobe Photoshop для платформы Mac OS X явно требует
наличия Java, но ничто не мешает полностью отключить и удалить Java-плагины из
браузеров. Конечно, удаление Java – слишком радикальный ход, но в итоге каждый
пользователь сам будет решать, нужна ли ему эта универсальная, мощная, но
опасная в текущем виде технология.
В заключение стоит остановиться на некоторых технических
деталях последних проблем с Java. В совокупности, оставшиеся дефекты в ПО
позволяют вредоносному коду успешно преодолеть изоляцию виртуальной Java-машины,
используемой для запуска Java-приложений.
По материалам сайтов PC World и Ars Technica.
|