Как можно увидеть на графике ниже, количество патчей, которые выпускает компания Oracle, неуклонно растет, и в последние годы разработчики компании регулярно исправляют более 200 уязвимостей за раз. Однако с выходом апрельского Critical Patch Update (CPU) компания вновь превзошла себя, устранив сразу 299 уязвимостей, что является новым рекордом.

Согласно официальному сообщению компании, более 100 из 299 уязвимостей можно было эксплуатировать удаленно, без аутентификации. Фактически это означает, что проблемы можно было эксплуатировать через вредоносный сайт или другую удаленную атаку, все зависит от конкретного продукта и бага.

Больше всего патчей на этот раз получили Oracle Financial Services Applications (47 исправлений), Oracle Retail Applications и Oracle MySQL (по 39 исправлений у каждого решения). Как можно заметить, в тройку «лидеров» не вошла Java, которая, к примеру, зачастую используется злоумышленниками для установки малвари. На этот раз Java получила лишь 8 патчей, впрочем, 7 из них закрывают RCE-уязвимости.

Также в состав апрельского CPU вошли обновления, закрывающие «дыры», которыми пользовались хакеры АНБ. Напомню, что 8 апреля 2017 года хакерская группа The Shadow Brokers вернулась из небытия, опубликовав новую порцию хакерских инструментов из арсенала спецслужб. Новый дамп содержал эксплоит для 0-day уязвимость в ОС Solaris и другие инструменты для взлома *NIX систем; фреймворк TOAST, который спецслужбы используют для очистки логов и заметания следов; инструмент ELECTRICSLIDE, позволяющий замаскироваться под китайский браузер с фальшивым Accept-Language, а также многое другое.

Среди 299 исправлений Oralce можно найти патч для уязвимости CVE-2017-3622, который закрывает баг, допускающий локальное повышение привилегий в Common Desktop Environment в Solaris 10. Данную проблему эксплуатировал инструмент EXTREMEPARR. Также специалисты Oracle сообщают, что уязвимость неопасна для Solaris 11.

Еще два инструмента АНБ, EBBISLAND и EBBSHAVE, использовали RPC-уязвимость в ядре, получившую идентификатор CVE-2017-3623. Баг представлял угрозу для Solaris начиная с шестой версии и заканчивая десятой (на x86 и Sparc). Версии Solaris 11 и Solaris 10 были вне зоны риска, (последняя только с установленным исправлением от января 2012 года).

Британский эксперт Мэтью Хики (Matthew Hickey), который испытывал эксплоиты EXTREMEPARR и EBBISLAND на Solaris младше одиннадцатой версии, предполагает, что Oracle, в некотором роде, просто повезло:

«Нет никакой информации о локальном CDE root. И, похоже, что им просто повезло запатчить удаленно эксплуатируемую RPC-уязвимость еще в 2012 году: это был ранее неизвестный баг, который теперь получил новый CVE идентификатор», — объясняет специалист.

Оставить мнение