0-day уязвимость в Java
Совсем недавно вышли корректирующие обновления Java SE 7 Update 15 и Java SE 6 Update 41, устраняющие уязвимости. Тем не менее, зарегистрирована свежая 0-day уязвимость (CVE-2013-1493), которая используется для распространения вредоносного ПО McRAT, поражающего Windows-системы при открытии специально модифицированных страниц.
Уязвимость позволяет осуществить запись и чтение произвольных областей памяти JVM. В процессе эксплуатации осуществляется поиск области памяти, в которой хранятся внутренние структуры данных JVM, после чего осуществляется обнуление участков данных областей с целью дезактивации менеджера безопасности. После успешной эксплуатации, под видом изображения осуществляется загрузка исполняемого файла McRAT и попытка его запуска.
Кроме того, имеется информация о включении нового 0-day эксплоита в типовые комплекты для совершения атак. Интересно, что распространяемый с использованием 0-day эксплоита троян Trojan.Naid, подписан с использованием корректного сертификата, полученного в результате атаки на инфраструктуру Bit9. До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.
В добавок ко всему, Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, сообщил, что после выпуска Java SE 7 Update 15 ему удалось выявить две неисправленные проблемы, которые в сочетании друг с другом позволяют обойти sandbox-ограничения Java (проблемы основаны на особенностях работы Reflection API и не связанны с вышеописанной 0-day уязвимостью). Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, который отправлен компании Oracle вместе с детальным описанием сути проблемы. Примечательно, что в ответ компания Oracle заявила, что первая из проблем не является уязвимостью и не выходит за рамки допустимого поведения Reflection API, несмотря на то, что данная особенность является необходимым условием для проявления второй проблемы.
