Среда Java стала с начала 2013 года для корпорации Oracle настоящей головной болью: за последние два месяца компания уже пять раз выпускала для нее обновления, каждый раз закрывая критически уязвимости. Однако проблемы в Java, похоже, не завершились. На сей раз в Java была обнаружена уязвимость, связанная с недостаточной верификацией ключей безопасности, позволяющих гарантировать подлинность того или иного сайта или программы. Эксперты говорят, что в существующих версиях Java можно использовать ряд цифровых сертификатов, которые ранее были отозваны со стороны удостоверяющих центов или имеют просроченную дату использования. Американское издание ArsTechnica провело собственное расследование данной проблемы и убедилось в ее наличии. Издание сообщает, что им был обнаружен сайт, который размещал вредоносное программное обеспечение, подписанное цифровым сертификатом на имя компании Clearesult Consulting и выписанным хостером GoDaddy. Сам GoDaddy аннулировать подлинность цифрового сертификата еще в декабре прошлого года, однако сертификат в среде Java по-прежнему признается действительным.
Источник