Обновление Java не защищает от тихих эксплойтов

Обновление Java Standard Edition 7 (SE7), которое должно было закрыть ряд
критических уязвимостей, со своей задачей справилось не до конца, оставив
открытую дверь для будущих атак.

Обнаруженная в январе этого года уязвимость нулевого дня была широко
использована злоумышленниками, что привело к рекомендации со стороны Агентства
национальной безопасности США отключать Java на всех машинах. Компания Oracle
достаточно быстро отреагировало на сообщения об уязвимости и выпустила заплатку
к своему продукту.

Однако Адам Гоудиак, исследователь из Security Exploration утверждает, что в
Java осталась еще одна уязвимость, позволяющая удаленное воспроизведение
произвольного кода – через запуск неподписанного Java-контента на
веб-страницах. Об этом он
сообщил на рассылке
Full Disclosure.

«Мы обнаружили в Java новую уязвимость (Issue 53). Она позволяет
воспроизводить на целевой Windows-системе произвольный неподписанный код на
языке Java вне зависимости от того, какие настройки выставлены в Java Control
Panel Settings», — написал Гоудиак.

Java Control Panel Settings – это контрольная панель, которая была
представлена в Java SE Update 10 в октябре 2012 года. Она позволяет
устанавливать четыре уровня веб-безопасности. На самом высоком уровне
неподписанные приложения не могут за пределы «песочницы», что в теории должно
защищать пользователя ото всех потенциальных угроз.

«Issue 53 успешно воспроизводится в последнем обновлении Java SE 7 Update 11
(версия JRE 1.7.0_11-b21) под ОС Windows 7 с настройками безопасности на
максимальном уровне. Недавнее обновление безопасности Java никоим образом не
предотвращает тихие эксплойты», — сообщил Гоудиак.

Java часто становится мишенью для создателей вредоносного ПО, так как имеет
широчайшую базу пользователей (на данный момент количество установок превышает
850 миллионов).