Исправленную в 2013 году уязвимость в Java по-прежнему можно успешно эксплуатировать

Плохие новости для пользователей Java – выпущенный компанией Oracle в 2013 году патч оказался неэффективным. Как сообщают эксперты компании Security Explorations, уязвимость CVE-2013-5838 («Ошибка 69») так и не была окончательно исправлена, поэтому злоумышленники могут эксплуатировать ее и в последних версиях ПО.

Oracle присудила данной ошибке рейтинг 9,3 из 10, поскольку она позволяет неаутентифицированному пользователю удаленно скомпрометировать систему. По словам экспертов, компания неверно оценила степень распространенности уязвимости. Согласно уведомлению Oracle за октябрь 2013 года, ошибка может эксплуатироваться только для обхода песочниц приложений, использующих технологию Java Web Start, и песочниц Java-апплетов. Как сообщают эксперты, данная информация не соответствует действительности.

«Мы доказали, что “Ошибка 69” может успешно эксплуатироваться в серверном окружении и в приложениях Java на хостинге Google App Engine», - сообщили исследователи.

В 2013 году Security Explorations представила PoC-код для данной ошибки. По словам главы компании Адама Говдяка (Adam Gowdiak), после выхода исправления уязвимость по-прежнему можно эксплуатировать – достаточно лишь изменить четыре символа в PoC-коде и использовать свой HTTP-сервер, выдающий ошибку «404» при определенных запросах.

Новый PoC-код может использоваться для эксплуатации уязвимости в последних доступных версиях Java, включая Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108.

Намерена ли Oracle выпускать экстренное обновление, или планирует подождать планового релиза, пока неизвестно.