Компанией Oracle представлено крупнейшее в истории обновление Java SE - Java SE 7 Update 13 и Java SE 6 Update 39, которое исправляет проблемы безопасности. Эти исправления закрывают 50 уязвимостей, 26 из которых имеют наивысший уровень опасности (CVSS Score 10.0). Выпуск обновления пришлось выпустить раньнше намеченного срока, который предварительно был намечен на 19 февраля, так как в сети были зафиксированы факты эксплуатации одной критической уязвимостив браузерном Java-плагине.
Удаленная эксплуатация, не требующая авторизации в атакуемой системе, присуща всем критическим проблемам данного исправления. На стороне клиента проявляются 23 критические уязвимости, трём проблемам подвержены как клиентские, так и серверные системы (через эксплуатацию обращений к серверному API). Две уязвимости относятся к серверному компоненту JSSE (Java Secure Socket Extension).
Среди общего числа уязвимостей, без предварительной аутентификации могут быт эксплуатированы 49 проблем. В Java Runtime Environment выявлено 39 проблем, а в JavaFX - 11. Относительно уязвимостей в JRE (Java Runtime Enviroenment): в 2D-подсистеме найдено две проблемы, CORBA и AWT исправлено по 4 проблемы, в Deployment Toolkit исправлено 10 проблем, в JMX исправлено 3 проблемы, библиотеках исправлено 5 проблем, две в JSSE, по одной исправлено: в Java Beans, системе скриптинга, звуковой подсистеме, один в инсталляторе, JAX-WS, JAXP, RMI и в сетевой подсистеме.
Как отмечает компания Oracle в своем анонсе, опасность эксплуатации проблем безопасности удалось снизить благодаря тому, что в обновлении безопасности Java SE 7 Update 11 был изменён уровень безопасности, предлагаемый по умолчанию. Ранее, при выполнении Java апплетов задействовался средний уровень безопасности, а после выхода Java SE 7 Update 11 стал задействован наивысший уровень безопасности, который включает дополнительные проверки и требования подтверждения, при запуске неподписанных апплетов в браузере, приложений Java Web Start или JavaFX. В тоже время, известный исследователь безопасности Адам Говдяк (Adam Gowdiak), недавно сообщил о неэффективнеости применения уровней безопасности и что их можно обойти, что он и доказал на практике найдя уязвимость, дающую возможность выполнить вредоносный ПО даже если активировани наивысшего уровня безопасности, который полность запрещает запуск неподписанных апплетов. Таким образом, указанная уязвимость позволяет как и прежде выполнять вредоносное ПО при отрытии специально подготовленной страницы, незаметно для пользователя атакуемго компьютера.
Добавить комментарий