• Партнер

  • Исследователь Тэвис Орманди сообщил об уязвимости в Java Web Start,
    позволяющей хакеру удаленно выполнить вредоносный код в системе под управлением
    всех недавних версий ОС Windows, а его соратник Рубен Сантамарта из фирмы
    Wintercore заявил, что аналогичная брешь затрагивает и Linux.

    Оба эксперта указывают на шокирующую легкость использования бага,
    эксплуатацию которого можно осуществить с помощью веб-сайта, тайно рассылающего
    вредоносные команды различным компонентам Java, служащим для запуска приложений
    в браузерах Internet Explorer, Firefox и прочих.

    Орманди рассказал также, что разработчики Java из недавно приобретенного
    Oracle соответствующего подразделения Sun были проинформированы о наличии
    проблемы, однако не сочли ее заслуживающей того, чтобы нарушить плановый
    ежеквартальный график выхода патчей. Оба исследователя с этим категорически не
    согласны.

    Так, Сантамарта

    пишет
    , что метод, с помощью которого поддержка Java Web Start была добавлена
    в JRE – это ничто иное, как сознательно установленный бэкдор или вопиющий случай
    поразительной безответственности. По словам эксперта, самое невероятное
    заключается в том, что в Sun не смогли правильно оценить уровень риска от этой
    утечки после того, как Орманди предоставил им информацию о ней.

    В числе уязвимых компонентов Windows, обнаруженных Орманди, значатся элемент
    управления ActiveX, известный как Java Deployment Toolkit и плагин для Firefox
    под названием NPAPI, служащий для того, чтобы облегчить разработчикам Java
    распространение приложений среди конечных пользователей.

    Все эти компоненты без надлежащей проверки принимают и обрабатывают команды,
    встроенные в URL и веб-страницы, а затем передают их другим компонентам на
    исполнение. По словам Сантамарты, добавление скрытого параметра командной строки
    позволяет использовать данный баг и на Linux. В настоящее время эксперт изучает
    возможность эксплуатации этой бреши для удаленного выполнения кода.

    Орманди предупреждает, что без патча защитить себя от этой уязвимости будет
    не так-то просто, поскольку одного отключения ActiveX или плагина для Firefox
    будет недостаточно. Данный инструментарий ставится отдельно от Java и это
    значит, что единственными возможными временными решениями являются установка
    специфичных для каждого браузера стоп-битов или внедрение дополнительных функций
    в списки контроля доступа. Более подробно об этом написано
    здесь.

    Впрочем, существует и более радикальный способ решения проблемы, который в
    последнее время все чаще кажется заслуживающим внимания. Так, эксперт по
    компьютерной безопасности Алекс Сотиров

    написал на Twitter
    о том, что он удалил Java более года назад и до сих пор
    не имел ни единой проблемы ни с одним из сайтов. Поэтому исследователю кажется
    непонятным, для чего люди до сих используют Java в своих браузерах.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии