Новая брешь в Java ставит под сомнение эффективность защиты от эксплойтов

image

Теги: Java, уязвимость, PoC

Обнаруженная исследователями уязвимость позволяет обойти настройки безопасности Java, предназначенные для защиты от скрытых эксплоитов.

Исследователям безопасности из компании Security Explorations удалось обнаружить уязвимость в настройках безопасности Java, которые предназначены для обеспечения защиты от скрытых эксплоитов. Брешь позволяет потенциальным злоумышленникам обойти ограничения безопасности и совершить «drive-by» атаку в браузере жертвы. 

Отметим, что возможность указывать необходимые пользователю настройки безопасности была введена разработчиками в декабре прошлого года в Java 7 Update 10. Они позволяют установить ограничения на запуск Java приложений в web-обозревателе. При этом самый «строгий» уровень безопасности из четырех возможных должен блокировать все приложения, не имеющие легитимной цифровой подписи. 

В то же время, по словам главы Security Explorations Адама Говдиака (Adam Gowdiak), ни одно из предлагаемых ограничений не может противостоять злоумышленникам. 

«То, что мы обнаружили… позволяет успешно выполнить неподписанный Java код на целевой системе Windows, вне зависимости от того, какие параметры ограничений установлены в Java Control Panel», - следует из сообщения Говдиака в Full Disclosure

Эксперт также отметил, что точное подтверждение наличия бреши имеется только для Java версии 7 Update 11 для Windows 7. В настоящий момент соответствующая информация об уязвимости и PoC-код к ней уже были переданы разработчикам Oracle. 


или введите имя

CAPTCHA
anonym
29-01-2013 10:10:52
Вот обновляю, обновляю яву всем через гпо... А смысл?
0 |
ZzZ
29-01-2013 10:22:58
Sanboxie Rulez)
0 |
x
29-01-2013 19:10:00
Sandboxie защищает от изменения данных, но не от чтения -> сохраненные пароли могут улететь враз. Плюс если браузер под админом запускается, то sandboxie может и не спасти.
0 |
guest
29-01-2013 10:50:05
Если еще через ГПО отключить яву от Internet Explorer, то смысл может появиться... http://www.java.com/en/download/help/disable_browser.xml
0 |