Oracle Java patch obsahuje nové díry, vědci varují

Výzkumníci ze společnosti Security Explorations, výzkumná firma zranitelných v Polsku, tvrdí, že nalezli dvě nové chyby zabezpečení v Java 7 Update 11, které lze využít k obejití softwaru bezpečnostní karanténa a spouštění libovolného kódu na počítačích

Oracle vydala aktualizaci Java 7 11 minulou neděli jako nouzovou aktualizaci zabezpečení, aby zablokovala zneužívání nulových dnů používaných počítačovými zločiny k infekci počítačů s malwarem

. že kompletní Java bypass bezpečnostní karantény může být stále dosaženo v rámci Java 7 Update 11 (JRE verze 1.7.0_11-b21) tím, že využívá dvě nové chyby zjištěné výzkumní pracovníci společnosti Adam Gowdiak, zakladatel společnosti, uvedli v pátek ve zprávě zaslané do mailing listu s úplným zveřejněním. Chyby byly oznámeny společnosti Oracle v pátek, společně s kódem exploit prokazujícím existenci konceptu, uvedl.

Podle odborné politiky bezpečnostních průzkumů, technické podrobnosti o zranitelnostich nebudou zveřejněny, dokud prodejce nezveřejní náplast.

Nesouvisející chyby

Výzkumníci z bezpečnostní firmy Immunity, kteří analyzovali zneužívání, který používají počítačové zločince od minulého týdne, dospěli k závěru, Java únik písku. Nicméně později v příspěvku na blogu uvedli, že program Java 7 Update 11 adresoval pouze jednomu z nich a varoval, že pokud by útočníci našli další chybu, která by nahradila patchovanou, může být vytvořen nový exploit.

Zranitelnosti zjištěné průzkumy zabezpečení jsou oddělený od počítače, který nebyl ponechán Oracle v aktualizaci Java 7 v aktualizaci 11, uvedl Gowdiak v pátek e-mailem.

Někteří vědečtí pracovníci v oblasti bezpečnosti, včetně pracovníků US Computer Emergency Readiness Team (US-CERT) prohlížeč plug-in i přes vydání Java 7 Update 11, citovat obavy, že podobné útoky by mohly nastat v budoucnu.

"Určitě je něco znepokojující, pokud jde o kvalitu kódu Java SE 7," řekl Gowdiak. To by mohlo naznačovat nedostatek řádného programu Secure Development Lifecycle pro Javu nebo jiných problémů, které jsou pro Oracle interní, řekl.

To znamená, že Java 7 Update 11 žádá o potvrzení uživatelů před tím, než povolí Java applety být provedené uvnitř prohlížečů je rozhodně krok správným směrem a může zablokovat mnoho útoků, řekl Gowdiak.