Oracleova Java zakrpa sadrži nove rupe, istraživači upozoravaju

Istraživači istraživačke tvrtke za istraživanje ranjivosti u sigurnosnim istraživanjima tvrde da su otkrili dvije nove ranjivosti u Java 7 Update 11 koje se mogu iskoristiti za zaobilaženje softvera sigurnosni sandbox i izvršiti proizvoljni kod na računalima.

Oracle je prošle nedjelje objavio Java 7 Update 11 kao hitno sigurnosno ažuriranje kako bi blokirao nultodnevni iskorištavanje koje koriste cyber-kriminalci kako bi zarazili računala sa zlonamjernim softverom.

Sigurnosna istraga uspješno potvrđena da kompletan Java sigurnosni obilazak sandboxa još uvijek može biti postignut u okviru Java 7 Update 11 (JRE verzija 1.7.0_11-b21) iskorištavanjem dvije nove ranjivosti koje je otkrio istraživači tvrtke Adam Gowdiak, osnivač tvrtke, izjavili su u petak u poruci poslanoj na mailing listu Full Disclosure. Ranjivosti su prijavljene Oracleu u petak, zajedno s radnim kodom za iskorištavanje dokaza o konceptu.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Prema pravilima otkrivanja sigurnosnih istraga, tehnički detalji o ranjivostima neće biti javno otkriveni sve dok prodavatelj ne donese zakrpu.

Nepovjerljivi ranjivi korisnici

Istraživači imunološkog društva Immunity koji su analizirali iskorištavanje koje su cyber-kriminalci koristili od prošlog tjedna zaključili su da je također kombinirala dvije ranjivosti kako bi se postigla bijeg Java sandboxa. Međutim, kasnije su rekli u postu na blogu da se Java 7 Update 11 samo obratio jednoj od njih i upozorio da ako napadači pronađu drugu ranjivost kako bi zamijenili zakrpu, može se stvoriti novi iskorištavanje.

Ranjivosti otkrivene sigurnosnim istraživanjima su odvojene od onog koji je ostao nezaštićen od strane Oraclea u Java 7 Update 11, Gowdiak je izjavio petak putem e-pošte.

Neki sigurnosni istraživači, uključujući i one iz tima SAD-a za spremanje u hitnim slučajevima (US-CERT), nastavili su savjetovati korisnike da onemogućuju Java unatoč objavljivanju Java 7 Update 11, navodeći zabrinutost da bi se slični napadi mogli dogoditi u budućnosti. "Svakako je nešto zabrinuto zbog kvalitete Java SE 7 koda", rekao je Gowdiak. To bi moglo ukazivati ​​na nedostatak odgovarajućeg programa za životni ciklus Secure Development za Java ili nekih drugih problema koji su interni za Oracle, rekao je.

To je rekao, činjenica da Java 7 Update 11 traži potvrdu korisnika prije nego što omogući Java appleti izvršen unutar preglednika definitivno je korak u pravom smjeru i mogao bi blokirati mnoge napade, rekao je Gowdiak.