Уязвимость в Java позволяет подменить реальное имя приложения

image

Теги: Java, Oracle

В системе есть брешь, которая позволяет изменять данные в криптографически подписанных апплетах.

Oracle решила повысить безопасность Java-приложений с помощью диалогового окна, которое отображает название, создателя и месторасположения приложения.

Однако, как показывает исследование эксперта в области информационной безопасности Брайана Кребса, в системе существует уязвимость, благодаря которой данные можно изменить.

О том, что некоторые поля, отображаемые в сообщении безопасности, можно редактировать и подделывать, сообщил разработчик Java Джерри Джонджериус (Jerry Jongerius). В рамках своего исследования ИБ-эксперт использовал апплет javadetection.jar, загруженный с сайта компании. Он обращает особое внимание на то, что поля «Имя» и «Расположение» можно изменить даже при наличии криптографической подписи.

Несмотря на то, что Джонджериус не единственный, кто знает о бреши, Oracle никак не реагирует на сложившуюся ситуацию.

«Недоработанная песочница для Java-апплетов не может навредить. Однако недоработанный подписанный Java-апплет может предоставить полный доступ к компьютеру», - говорит Уилл Дорманн (Will Dormann) из US-CERT.


или введите имя

CAPTCHA