Очередная опасная 0day-уязвимость в Java: эксплойт уже доступен

Очередная опасная 0day-уязвимость в Java: эксплойт уже доступен

× Версия для печати

Эксперты из Министерства внутренней безопасности США рекомендуют пользователям отключить надстройку Java в браузерах из-за уязвимости, позволяющей запустить на удаленном компьютере произвольный программный код. Согласно опубликованным данным, атака может быть осуществлена при посещении страницы, в которую внедрено вредоносное Java-приложение.

Oracle пока не отреагировала на уязвимость и не выпустила обновление для ее устранения, поэтому, отмечают специалисты, единственным способом защитить компьютер от атак является отключение надстройки Java в браузерах, пишет издание Digit. «Эта и предыдущие уязвимости в Java широко применяются взломщиками, вероятно, будут обнаружены и новые ошибки», — заявили эксперты US-CERT.

Кроме отключения Java, пользователи могут запретить выполнение всех Java-приложений в браузере с помощью панели управления. Также специалисты рекомендуют устанавливать платформу Java на своих компьютерах только при необходимости.

Вчера стало известно, что в наборы эксплойтов Cool Exploit Kit, Blackhole Exploit Kit, Red Kit и Nuclear Exploit Pack включён новый эксплойт для Java SE, эксплуатирующий некую 0day-уязвимость. Вполне возможно, что это именно та самая критическая уязвимость с выходом из песочницы, о которой говорили специалисты Security Explorations.

Таким образом, опять становится актуальным совет от августа 2012 года, когда специалисты рекомендовали срочно отключить Java-плагин в браузере. Отключение плагина — на сегодняшний день, это единственная возможность защититься от атаки. Кстати, в последнем JDK 7u10 реализована блокировка или избирательное выполнение Java-апплетов.

Модуль Java Applet JMX 0day для Metasploit

Напомним, с апреля по сентябрь 2012 года польская компания Security Explorations нашла более 50 уязвимостей различной степени опасности в Java SE. В компании Oracle, IBM и Apple были отправлены фрагменты кода proof-of-concept с демонстрацией возможных эксплойтов для найденных багов. Почти все они были закрыты в октябрьском обновлении Java SE, хотя упомянутая уязвимость с полным выходом из песочницы не закрыта до сих пор (см. уязвимость № 50 в отчётах Security Explorations), её оставили на февраль 2013 года.

В ноябре 2012 года компания Security Explorations опубликовала подробный технический отчёт и презентацию с описанием уязвимостей, а также обзор общей архитектуры безопасности Java VM и её слабых мест.

Java hack exploite эксплойт хакинг джава ява взлом безопасность

Для опытных программистов не составило труда написать эксплойт к пресловутой уязвимости № 50. Антивирусная компания Websense опубликовала фрагмент кода. Вероятно, именно этот эксплойт сейчас используется злоумышленниками. Дополнительная информация для тех, кому мало: В сети обнаружен эксплойт, поражающий неисправленную уязвимость в Java 7.

Update: и вот наконец вышло долгожданное и внеплановое обновление-исправление этого опасного бага от Oracle — обновляемся и закрываем дыры в Java.