Эксперты из Министерства внутренней безопасности США рекомендуют пользователям отключить надстройку Java в браузерах из-за уязвимости, позволяющей запустить на удаленном компьютере произвольный программный код. Согласно опубликованным данным, атака может быть осуществлена при посещении страницы, в которую внедрено вредоносное Java-приложение.
Oracle пока не отреагировала на уязвимость и не выпустила обновление для ее устранения, поэтому, отмечают специалисты, единственным способом защитить компьютер от атак является отключение надстройки Java в браузерах, пишет издание Digit. «Эта и предыдущие уязвимости в Java широко применяются взломщиками, вероятно, будут обнаружены и новые ошибки», — заявили эксперты US-CERT.
Кроме отключения Java, пользователи могут запретить выполнение всех Java-приложений в браузере с помощью панели управления. Также специалисты рекомендуют устанавливать платформу Java на своих компьютерах только при необходимости.
Вчера стало известно, что в наборы эксплойтов Cool Exploit Kit, Blackhole Exploit Kit, Red Kit и Nuclear Exploit Pack включён новый эксплойт для Java SE, эксплуатирующий некую 0day-уязвимость. Вполне возможно, что это именно та самая критическая уязвимость с выходом из песочницы, о которой говорили специалисты Security Explorations.
Таким образом, опять становится актуальным совет от августа 2012 года, когда специалисты рекомендовали срочно отключить Java-плагин в браузере. Отключение плагина — на сегодняшний день, это единственная возможность защититься от атаки. Кстати, в последнем JDK 7u10
реализована блокировка или избирательное выполнение Java-апплетов.
Модуль Java Applet JMX 0day для Metasploit
В ноябре 2012 года компания Security Explorations опубликовала подробный технический отчёт и презентацию с описанием уязвимостей, а также обзор общей архитектуры безопасности Java VM
и её слабых мест.
Для опытных программистов не составило труда написать эксплойт к пресловутой уязвимости № 50. Антивирусная компания Websense опубликовала фрагмент кода. Вероятно, именно этот эксплойт сейчас используется злоумышленниками. Дополнительная информация для тех, кому мало: В сети обнаружен эксплойт, поражающий неисправленную уязвимость в Java 7.
Update: и вот наконец вышло долгожданное и внеплановое обновление-исправление этого опасного бага от Oracle — обновляемся и закрываем дыры в Java.