Oracle узнала о наличии уязвимости 0-дня в Java еще в апреле

Компания Oracle выпустила уведомление безопасности, в котором устранила уязвимость нулевого дня в Java (CVE-2012-4681) . Напомним, что на прошлой неделе первым о публичной эксплуатации этой уязвимости сообщил Атиф Муштак (Atif Mushtaq) из компании FireEye. По словам эксперта, хакеры использовали брешь в Java для осуществления целевых атак, но в ближайшее время эксплоит к ней должен был стать доступным для более широкого круга кибермошенников.

На следующий день компания Rapid 7 заявила о добавлении модуля эксплоита к CVE-2012-4681 в инструменте для пентестеров Metasploit, а Брайан Кребс, ссылаясь на собственные источники, рассказал о том, что над своей версией эксплоита работают и авторы BlackHole. Цитируя одного из руководителей BlackHole, Кребс написал, что цена подобного эксплоита может составить порядка $100 000.

В период между уведомлением FireEye и выпуском обновлений от Oracle в интернете появилась масса публикаций и советов об устранении уязвимости, как от экспертов безопасности, так и от мошенников. Первые советовали отключить среду Java в браузере и использовать ее только при необходимости, вторые нередко предлагали пользователям скачать собственный вариант решения проблемы.

В пятницу, после выпуска обновлений от Oracle, в почтовой рассылке Bugtraq появилось сообщение сотрудника польской компании Security Explorations Адама Говдиака (Adam Gowdiak) , в которой он рассказывает о том, что производитель был уведомлен об уязвимости еще в апреле этого года.

«Сегодня мы отправили Oracle отчет об уязвимости, а также PoC код. Этот код успешно демонстрирует полный обход песочницы JVM в последней версии Java SE (версии 7 Update 7, выпущенной 30 августа 2012 года)», - сообщает Говдиак. В уведомлении также размещена гиперссылка на сайт Security Explorations, на котором представлен процесс переписки с Oracle. По данным исследователей, сотрудники Oracle еще весной подтвердили получение и расшифровку отчета об уязвимости в Java.