Во внеплановом исправлении к Java нашли еще одну опаснейшую брешь // 20 Ноября 2012

Во внеплановом исправлении к Java нашли еще одну опаснейшую брешь

Не успела компания Oracle выпустить внеочередное обновление к технологии Java после шквала откликов об опасной уязвимости, как появились новые заявления от независимых экспертов по безопасности – на этот раз, уже насчет проблем с обновлением. Так, Адам Гаудяк (Adam Gowdiak), генеральный директор польской компании Security Explorations, сообщил о создании программы, доказывающей наличие уязвимости в последнем обновлении. Уже 31 августа этот код был передан инженерам Oracle.

Платформу Java в последнее время просто преследуют неудачи. Сначала выяснилось, что несвоевременное обновление Java для платформы Mac OS X привело к массовому распространению вируса Flashback, потом оказалось, что данные о новой критической уязвимости (которую, как раз, должно закрывать исправление от 30 августа) поступили еще в апреле 2012 года. Последние события вообще бросают тень на репутацию инженеров Oracle, которые, устранив одну уязвимость, открыли новую, ничуть не менее серьезную. По мнению исследователей, нашедших проблему во внеочередном обновлении Java 7 Update 7, на этот раз злоумышленник может захватить полный контроль над компьютером жертвы. Немного скрашивает ситуацию лишь то, что пока в «диком виде» не обнаружены эксплойты, использующие данную уязвимость.

Как рассказывает Гаудяк из фирмы Security Explorations, поиск проблемы занял у специалистов всего 2-3 часа, причем, вручную. На данный момент фирма Security Explorations отказывает обсуждать технические детали проблем, чтобы не облегчать задачу злоумышленникам при атаках через почту или веб-страницы. Известно, что обнаружение уязвимости произошло, когда специалисты пытались исправить код проверки уязвимости, переставший работать после выхода исправления Java 7 Update 7.

Крайне скупая реакция Oracle на последние события вновь породила целую волну призывов к удалению Java со всех компьютеров, где она не используется для обязательных задач. Стоит также заметить, что многие приложения, заявляющие о невозможности работы без Java, на самом деле вполне или почти успешно работают без программного обеспечения под маркой Oracle. Например, пакет Adobe Photoshop для платформы Mac OS X явно требует наличия Java, но ничто не мешает полностью отключить и удалить Java-плагины из браузеров. Конечно, удаление Java – слишком радикальный ход, но в итоге каждый пользователь сам будет решать, нужна ли ему эта универсальная, мощная, но опасная в текущем виде технология.

В заключение стоит остановиться на некоторых технических деталях последних проблем с Java. В совокупности, оставшиеся дефекты в ПО позволяют вредоносному коду успешно преодолеть изоляцию виртуальной Java-машины, используемой для запуска Java-приложений.

По материалам сайтов PC World и Ars Technica.

Читайте еще:

Робот-пограничник пропускает двух нелегалов по одному паспорту

Робот-пограничник пропускает двух нелегалов по одному паспорту

Запуск в "тестовом" режиме автоматизированного паспортного контроля в аэропорту Манчестера показал, что работа системы не выдерживает никакой критики. Сканеры, по словам источников в Пограничном агентстве Великобритании (UKBA), ломаются ежедневно, а кроме того, не могут бороться с простейшими способами обмана - например,...

12 Ноя 2012

Дмитрий Медведев стал видеоблогером

Дмитрий Медведев стал видеоблогером

Президент России Дмитрий Медведев завел на своем официальном сайте видеоблог. В первом видеоролике (файл WMV) глава государства рассказал, о чем он намерен говорить на конференции по вопросам мировой политики, которая состоится 8 октября в Эвиане во Франции. Ролик записан в рабочем...

13 Фев 2013

Православные смайлики бьют поклон и читают Евангелие

Православные смайлики бьют поклон и читают Евангелие

Совсем недавно открывшаяся социальная сеть "Соборное дело", ориентированная на пользователей, исповедующих православие, становится всe более привлекательной для своей потенциальной аудитории: теперь посетители могут обмениваться друг с другом текстовыми сообщениями, используя при этом элегантные графические смайлики. Разработчики сервиса отнеслись к этому важному...

25 Янв 2013

16.04.2013
Total Commander - лучший среди файловых менеджеров
Если еще недавно все радовались появлению Windows и его «удобнейшему» интерфейсу с окнами, где перемещать...
16.04.2013
Avast - один из лучших бюджетных антивирусов
Не мало количество пользователей, не скрывающих необходимость в защите компьютера при помощи антивирусов пользуются именно...
16.04.2013
NOD32 Smart Security 6, получил обновление!
Компания ESET является одним из самых мощных разработчиков, выпускающих качественное программное обеспечение, направленное на защиту...
30.05.2012
Осторожно спам Сбербанка
В последнее время участилась массовая рассылка фишинговых электронных писем от мошенников, якобы работников Сбербанка России....
29.05.2012
Новый вирус в сети интернет
"Лаборатория Касперского" обнаружила новую вредоносную программу, которая активно используется в качестве кибероружия , распространяемого по...