»справленную в 2013 году у€звимость в Java по-прежнему можно успешно эксплуатировать

image

“еги: у€звимость, Java, Oracle

Ќамерена ли Oracle выпускать экстренное обновление, пока неизвестно.  

ѕлохие новости дл€ пользователей Java Ц выпущенный компанией Oracle в 2013 году патч оказалс€ неэффективным.  ак сообщают эксперты компании Security Explorations, у€звимость CVE-2013-5838 (Ђќшибка 69ї) так и не была окончательно исправлена, поэтому злоумышленники могут эксплуатировать ее и в последних верси€х ѕќ.

Oracle присудила данной ошибке рейтинг 9,3 из 10, поскольку она позвол€ет неаутентифицированному пользователю удаленно скомпрометировать систему. ѕо словам экспертов, компани€ неверно оценила степень распространенности у€звимости. —огласно уведомлению Oracle за окт€брь 2013 года, ошибка может эксплуатироватьс€ только дл€ обхода песочниц приложений, использующих технологию Java Web Start, и песочниц Java-апплетов.  ак сообщают эксперты, данна€ информаци€ не соответствует действительности.

Ђћы доказали, что Уќшибка 69Ф может успешно эксплуатироватьс€ в серверном окружении и в приложени€х Java на хостинге Google App Engineї, - сообщили исследователи.

¬ 2013 году Security Explorations представила PoC-код дл€ данной ошибки. ѕо словам главы компании јдама √овд€ка (Adam Gowdiak), после выхода исправлени€ у€звимость по-прежнему можно эксплуатировать Ц достаточно лишь изменить четыре символа в PoC-коде и использовать свой HTTP-сервер, выдающий ошибку Ђ404ї при определенных запросах.

Ќовый PoC-код может использоватьс€ дл€ эксплуатации у€звимости в последних доступных верси€х Java, включа€ Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108.

Ќамерена ли Oracle выпускать экстренное обновление, или планирует подождать планового релиза, пока неизвестно.  


или введите им€

CAPTCHA
ƒжон —ильвер
14-03-2016 16:46:18
ќрвклу начихать на безопасность , есть мнение что дыру эту оставили умышленно дл€ спецслужб
0 |