Внеплановое обновление Java содержит критическую уязвимость

1/09/2012 13:49

Эксперты польской компании Security Explorations сообщили об обнаружении уязвимости в обновление безопасности Java 7, выпущенном менее суток назад. Специалисты утверждают, что обнаруженная уязвимость позволяет обойти "песочницу" Java и выполнить потенциальный вредоносный код. Security Explorations передали данные об уязвимости в Oracle вместе с примером использования, демонстрирующим получение полного контроля над уязвимой системой Java 7 через методы Java Virtual Machine. Технические подробности новой уязвимости не раскрываются, так как представляют существенную угрозу всем пользователям уязвимой платформы. Напомним, что компания Oracle придерживается ежеквартального выпуска обновлений для платформы Java. Проигнорировав ряд критических уязвимостей, обнаруженных специалистами Security Explorations еще в апреле этого года, Oracle столкнулась с использование этих уязвимостей в вирусных атаках. В качестве временной меры было предложено отключить Java-плагин в веб-браузерах. Позднее Oracle отклонилась от привычного графика выпуска обновления безопасности и выпустила внеплановое обновление закрывающие уязвимости, используемые злоумышленниками. По утверждению представителей Security Explorations, выпущенное обновление лишь частично закрывает уязвимость и его возможно обойти с использованием средств Java Virtual Machine. В польской компании предполагают, что полностью уязвимость будет исправлена лишь в следующем обновление Java, которое запланировано на октябрь. Специалисты не рекомендуют включать Java-плагин для всех веб-ресурсов, а ограничить его использование лишь для необходимых веб-сайтов.
Источник