Oracle затягивает с выпуском исправлений для Java
// CyberSecurity.ru // — Польская компания Security Explorations говорит, что обнаружила еще в весной этого года аж 31 серьезную уязвимость в Java CPU, информация о которой была передана в Oracle, а широкой общественности об этом ничего не было известно. В Security Explorations заявили, что среди 31 уязвимости как минимум одна уже находится в широком использовании.
Адам Говдиак, CEO Security Explorations, говорит, что судя по логике вещей, все указанные уязвимости должны были быть устранены к 12 июня, когда Oracle выпустила квартальный набор патчей. Но в реальности Oracle устранила лишь 2 из уязвимости. С учетом того, что Oracle выпускает исправления для Java лишь раз в квартал, следующее исправление появится только 16 октября, а до этого пользователи продолжат быть под ударом.
В Security Explorations говорят, что поддерживают контакт с корпорацией и судя по последним данным от 23 августа, программисты компании подготовили исправление для двух с половиной десятков уязвимостей, но для пользователей они пока недоступны. Говдиак говорит, что незакрытыми остаются шесть уязвимостей, работа над исправлением которых продолжается.
Подробные сведения об уязвимостях в польской компании не разглашают. В Oracle также не стали комментировать ход работ над исправлением уязвимостей.
Отметим, что около месяца назад компания FireEye сообщила об обнаружении критической уязвимости в Java. Впервые об уязвимости в Java 1.7 в воскресенье в блоге компании FireEye сообщил ее ИТ-эксперт Атиф Муштак, а в понедельник новые данные о ней представили независимые специалисты Андрэ Димино и Мила Паркур. Они сообщают, что в рамках Java-атак злоумышленники используют уязвимость для установки троянца Poison Ivy Remote Access Trojan.
Все эксперты пишут, что обычные задержки, связанные с выпуском патчей для Java, а также широкое распространение эксплоита представляют реальную угрозу для пользователей и их данных. В компании Rapid7, выпускающей популярный открытый пентестер Metaspoit, используемый как ИТ-администраторами, так и хакерами , говорят, что у них уже есть эксплоит, который включен в программу и работает против Windows 7. Также в Rapid7 сообщили, что ведут разработку эксплоита для Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а также для операционных систем Ubuntu Linux и Windows XP.??»Как пользователь, вы должны очень серьезно отнестись к проблеме, пока у Oracle для нее нет официального патча. Мы рекомендуем полностью заблокировать работу Java пока не будет выпущено исправление», — говорят в Rapid7.
Подробные данные об уязвимости доступны по адресу http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html