Не прошло и пары дней с момента выпуска внепланового обновления Java SE 7 Update 11, устраняющего критическую уязвимость безопасности, как появилаь информация о появлении нового эксплойта, эксплуатирующего новую уязвимость. Эксплойт пока не получил широкое распространение, но на некоторых профильных интернет ресурсах его можно купить. На данный момент имеется информация о его покупке как минимум двумя пользователями. Как сообщают представители сообщества OpenJDK, последний выпуск Java SE 7 Update 11 содержит исправление частного случая уязвимости, но не защищает от использования других техник ее применения.
Экспертами по компъютерной безопасности не раз отмечалось, что компания Oracle затягивает с исправлением уязвимостей, информация о которых передается в частном порядке, не поддаваясь публичной огласке. Могут пройти многие месяцы, прежде чем компания соизволит выпустить обновление, а некоторые ошибки безопасности так и остаются неисправленными. Например, в Java имеются неисправленные проблемы безопасности, о наличии которых еомпания Oracle была уведомлена ещё в апреле 2012 года (а рекордным сроком выпуска обновления считается два года, ровно столько потребовалось для того, чтоб выпустить исправление уязвимости).
Дополнение: В Java SE 7 Update 11 выявлено наличие еще двух неисправленных уязвимостей, прототипы рабочих эксплойтов которых были направлены компании Oracle.
Добавить комментарий