Польский исследователь из компании Security Explorations обнаружил, что патч для уязвимости CVE-2013-5838, выпущенный Oracle два года назад, не устранял опасную уязвимость. Все это время пользователи оставались уязвимы для атак.
Уязвимость CVE-2013-5838 была обнаружена еще в 2012 году. Почти три года назад исследователи из той же Security Explorations нашли в Java Standard Edition (SE) 69 различных проблем, которые компания Oracle исправляла в течение 2012-2013 годов. Уязвимость CVE-2013-5838 была признана критической и позволяла осуществить выход за рамки песочницы. Патч, закрывающий брешь, был выпущен в октябре 2013 года.
Два с лишним года спустя выяснилось, что исправление от Oracle не устранило проблему. Основатель и глава Security Explorations пишет, что вернулся к анализу Java и обнаружил, что угроза по-прежнему актуальна даже для последних версий Java, то есть: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108. Исследователь сообщает, что уязвимость можно эксплуатировать даже в серверной среде, к примеру, на платформе Google App Engine для Java. Согласно отчету, для успешного обхода патча специалисты компании изменили всего четыре символа в оригинальной версии proof-of-concept эклоита, датированного 2013 годом.
Новый экслоит, наряду с обновленной информацией о старой-новой уязвимости, уже опубликован в отрытом доступе. Исследователи отмечают, что после выхода из песочницы все равно придется иметь дело с системой Click2Play, которая защищает от автоматического исполнения Java апплетов в браузере и других частях ОС.
Интересно, что на этот раз специалисты Security Explorations не уведомили Oracle о проблеме заранее. Технически, компания знает об уязвимости почти три года, а также недавно сменила официальную политику, разрешив публиковать информацию о неэффективных исправлениях без предварительного уведомления.
Следующий апдейт для Java SE запланировал на апрель 2016 года, но неизвестно, войдет ли в его состав повторный патч для CVE-2013-5838.
Фото: Silveira Neto
