Уязвимость для всех

Издание Computerworld публикует мнение специалиста по информационной безопасности из компании Security Explorations Адама Говдяка, который уверен: в своем последнем обновлении среды выполнения Java корпорация Oracle пропустила критическую уязвимость. И эта уязвимость теперь угрожает миллиарду ПК-пользователей. Причем баг в Oracle Java сразу в трех версиях среды. Чтобы уберечь себя, пользователям рекомендуется отключить плагин Java.

Как утверждает Адам Говдяк, это критическая уязвимость (уязвимость «нулевого дня»). Чем-то она похожа на кроссплатформенную критическую уязвимость в Java, найденную в конце августа. Она затронула пользователей Windows, Mac OS X, Linux и Solaris. После ее обнаружения пользователям также было рекомендовано отключить плагин Java в браузерах, или вообще удалить Java из системы.

Уязвимость, которую нашел Говдяк, также является кросс-плафторменной и позволяет злоумышленникам получить контроль над ПК. Это произойдет, если пользователь посетит зараженный веб-сайт, любой из распространенных браузеров: Chrome, Firefox, IE, Opera или Safari.

Новая уязвимость оказалась более масштабной, чем предыдущая, так как она присутствует сразу в трех версиях среды выполнения – Java 5, 6 и 7. На сайте Security Explorations Адам Говдяк указал конкретные версии ПО, в которых он успешно проэксплуатировал эксплойт. Это версии Java: Java SE 5 Update 22, Java SE 6 Update 35 и Java SE 7 Update 7, и браузеры: Chrome 21.0.1180.89, Firefox 15.0.1, Internet Explorer 9.0.8112.16421, Opera 12.02 и Safari 5.1.7. Все версии при проверке были запущены в среде 32-разрядной Windows 7.

Следующий пакет Oracle, устраняющий критические уязвимости, будет выпущен 16 октября. До этого времени эксперт рекомендует пользователям отключить Java-плагин в браузерах.

Виктор ДЕМИДОВ

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя mike

Отключение Джава -- полумера, т.к. уже есть вредоносы, которые могут включать Джава, модифицируя  конфигфайлы. Вопрос к автору и не только: а в каких браузерах Джава НЕ используется вообще? :)

Аватар пользователя Al

Майк, правильнее было бы спросить - в каких сайтах. Есть сайты, которые без Java просто не будут корректно работать. А для их работы браузеры должны иметь Java.

Аватар пользователя mike

Есть сайты, которые без Java просто не будут корректно работать. А для их работы браузеры должны иметь Java.

Да, есть. Ты почёл меня за школоту?

Правильнее было бы спросить - в каких сайтах.

Нет уж. Что спросил, то спросил.

В Линуксе можно пострадать в следующих случаях. 1. Если браузер установлен в домашнюю папку. Есть любители. 2. Если включил рутправа и запустил браузер, в т.ч. и установленный в системную папку. Случается. 3. Если установил браузер из недоверенного репа. Есть такие олухи.

Вывод: не пользуйтесь в Линуксе браузером и рутправами одновременно! Для рассеянных имеется автозагружаемый  костыль, порождающий демон, выключающий рутправа при включении браузера. Сделайте-ка это в Венде. :)

Аватар пользователя savely

>Сделайте-ка это в Венде. :)

 Цена вопроса? :))) 

Аватар пользователя mike

Цена вопроса? :)))

Вот, статью напишешь, людям поможешь.