Польская компания Security Explorations, которая обнаруживала все последние критические уязвимости в Java, вчера сообщила ещё об одной. Уязвимость затрагивает Java SE 5, 6 и 7 с полным выходом из песочницы и исполнением вредоносного кода в системе.

Исследователи не раскрывают конкретных деталей, но говорят, что новую уязвимость можно считать особенной по нескольким причинам. Во-первых, для недавно созданной компании Security Explorations это «юбилейный» 50-й обнаруженный баг. Они намеренно приурочили его к конференции JavaOne 2012, которая начнётся 30 сентября в Сан-Франциско. Во-вторых, баг затрагивает фундаментальное ограничение в безопасности Java Virtual Machine (Type Safety).

Уязвимость подтверждена в следующих версиях Java SE:

— Java SE 5 Update 22 (build 1.5.0_22-b03)
— Java SE 6 Update 35 (build 1.6.0_35-b10)
— Java SE 7 Update 7 (build 1.7.0_07-b10)

Тесты проводились на 32-битной системе Windows 7 со всеми патчами и следующими браузерами:

— Firefox 15.0.1
— Google Chrome 21.0.1180.89
— Internet Explorer 9.0.8112.16421 (update 9.0.10)
— Opera 12.02 (build 1578)
— Safari 5.1.7 (7534.57.2)

Естественно, компания Oracle уже уведомлена и получила полное описание уязвимости, а также исходный код и бинарник работающего эксплойта.



Оставить мнение