18.01.2013  Обзоры, Безопасность

Едва корпорация Oracle выпустила набор патчей (в том числе исправление последней известной уязвимости Java), как стало известно о том, что в Сети продается информация о ранее неизвестной уязвимости Java, так называемой уязвимости нулевого дня. По информации Infoworld, созданный на базе этой уязвимости эксплойт уже вовсю продается на хакерских форумах по цене 5000 долл. Сообщается, что предлагаемый для продажи пакет помимо эксплойта включает его исходный код, что позволяет встраивать его в другие типы вредоносных программ. Кроме того, продавцы уверяют, что эксплойт никак не связан с устраненной на днях уязвимостью Java CVE-2013-0422. Oracle пока что не отреагировала на появление новой критической уязвимости. В то же время продавцы эксплойта зявляют, что “продукт” пригоден для “немедленной атаки и его невозможно устранить (кроме изменения кода Java)”. В Oracle пока не прокомментировали информацию об этой уязвимости. Ранее ряд независимых экспертов предупреждали Oracle, что компания устранила не все уязвимости в последней версии Java. К примеру, антивирусная компания Trend Micro сообщала, что последняя версия Java 7 Update 11 может иметь потенциальные уязвимости, хотя при этом добавляла, что ей не известны случаи их активного использования. Напомним, что последняя критически опасная уязвимость в среде Java уже успела наделать немало шума в ИТ-среде, так как она, во-первых, позволяла внедрить через браузер на компьютер-жертву любой файл и исполнить его ... читать далее.