Только тем, кто провел последнюю неделю в пещере, не известно, что в Интернете "бушует" очередной client-side 0-day в Java, поэтому буду краток. Бушует он в основном в блогах по безопасности и прочих профильных песочницах. Нередко слышны призывы вендоров, особенно антивирусных, побыстрее скупать "змеиное масло" против этой беды, ведь они уже добавили сигнатуру в свои обновления. Правда, пока только для варианта от Metasploit, но ведь какая, в сущности, разница? А ведь в мире аж целых 3 млрд устройств снабжены Java...
Я не отрицаю, эксплойт опасный и распространять информацию о нем в массы очень важно. Но задумайтесь на мгновение: сколько компаний и рядовых пользователей уже мигрировали с Java 6 на Java 7? Ведь рабочий эксплойт есть пока только для последней версии.
И если кто-то мне подскажет, какая часть юзеров уже на Джаве 1.7, я с удовольствием заменю N на действительное число в этом уравнении, а пока:
Я не отрицаю, эксплойт опасный и распространять информацию о нем в массы очень важно. Но задумайтесь на мгновение: сколько компаний и рядовых пользователей уже мигрировали с Java 6 на Java 7? Ведь рабочий эксплойт есть пока только для последней версии.
И если кто-то мне подскажет, какая часть юзеров уже на Джаве 1.7, я с удовольствием заменю N на действительное число в этом уравнении, а пока:
Реальная_угроза ( CVE-2012-4681) = FUD / N
P.S. Если вы все-таки уже пользуетесь Java 1.7, удалите ее или пользуйтесь последней версией ветки 1.6 до выхода исправления :)
