В Java 7 вновь обнаружена уязвимость

29/01/2013 11:24

Последняя стабильная версия Java для пользователей подвержена новой атаке, говорят независимые специалисты. По их словам, атака работает даже в том случае, если у пользователя выставлены максимальные настройки безопасности, а программное обеспечение полностью обновлено. Напомним, что за последний месяц в Java уже были устранены две уязвимости "нулевого дня", однако по словам специалистов в Java по-прежнему есть проблемы с безопасностью. Сейчас эксперты говорят об уязвимостях в пакете Java 7 Update 10, выпущенном в декабре 2012 года. По данным польской ИТ-компании Security Explorations, данная версия среды даже при максимальных настройках безопасности позволяет запускать злонамеренные Java-апплеты, представляющие опасность для компьютера. Речь идет о апплетах, которые не имеют действующего цифрового сертификата, но с точки зрения среды исполнения выглядят как легитимные приложения. Ранее Oracle уже устраняла ряд проблем в безопасности, связанных с запуском неподписанных Java-приложений, однако в большинстве случаев, реальных проблем с безопасностью удавалось избегать, когда Java имела настройки по высокому уровню безопасностью, сейчас же проблемы возникают в любом случае. В Security Explorations говорят, что неподписанный код в Java 7 может быть запущен на целевой Windows-системе даже с высоким уровнем безопасности в Контрольной панели Java. Адам Говдиак, специалист по ИТ-безопасности Security Explorations, говорит, что исполнение неподписанного кода становится возможным из-за наличия в Java 7 всего одной уязвимости. По его словам, впервые проблема была обнаружена в Java 7 Update 10, но в выпущенном две недели назад Update 11 она также присутствует. В польской компании говорят, что они пока не обнаружили использования указанной проблемы реальными злоумышленниками, но Oracle ранее была извещена об уязвимости в Java.
Источник