Новая уязвимость нулевого дня в Java

Новая уязвимость нулевого дня в Java
Похоже, месяц уязвимостей zeroday продолжается.

Очередная уязвимость в Java ( CVE-2013-0422 ) уже включена в несколько эксплоит паков (BlackHole Exploit Kit, Cool Exploit Kit, Nuclear Pack). Вот что пишет создатель эксплоит пака BlackHole Exploit Kit:


Сообщается, что эта уязвимость очень похожа на обнаруженную в августе уязвимость в Java CVE-2012-4681. Атакующий может создать зловредную веб страницу и выполнить произвольный код на уязвимой системе. Работает на последней на текущий момент версии Java 1.7u10

Создатель Metasploit timukas). Напомнив, что уязвимость может работать независимо от ОС где установлена Java. Будь то Windows, Linux или MacOS.

Исходный код уязвимости в качестве исследовательских целей доступен здесь и при удачной работе запускает калькулятор на Windows-системах.

В качестве временной меры защиты рекомендуется отключить плагин Java в браузерах.
  1. Отключение плагина Java для веб-браузера Safari
  2. Отключение плагинов в Google Chrome
  3. Как правильно отключить среду исполнения Java в Opera for Windows
  4. Отключение плагинов в FireFox


UPD: видео демонстрация работы уязвимости:


java ziro day 0-day 0day vulnerable Oracle
Alt text

Агиевич Игорь aka Shanker

Мысли о собственной жизни ИТ-аналитика, обретающие очертания в голове и формируемые средством их выражения - родной речью