Очередная опасная 0day уязвимость обнаружена в Java. Эксплоит уже на подхвате!

Ваш отзыв

Специалисты подразделения по противодействию киберугрозам министерства национальной безопасности США рекомендуют пользователям отключить надстройку Java в веб-браузерах для защиты от атак злоумышленников, которые используют ранее неизвестную уязвимость в программной платформе Java, говорится на сайте подразделения US-CERT.

javaps3

Oracle пока не отреагировала на уязвимость и не выпустила обновление для ее устранения, поэтому, отмечают специалисты, единственным способом защитить компьютер от атак является отключение надстройки Java в браузерах. «Эта и предыдущие уязвимости в Java широко применяются взломщиками, вероятно, будут обнаружены и новые ошибки», — заявили эксперты US-CERT.

Специалист компании Sophos Фрейзер Ховард (Fraser Howard) рекомендует пользователям устанавливать платформу Java на своих компьютерах только при необходимости. В случае, если требуется выполнять только локальные программы на основе Java, которые запускаются не в браузере, Ховард советует отключить надстройку Java в браузерах.

Помимо отключения Java в настройках самого браузера, пользователи могут запретить выполнение всех Java-приложений в браузере с помощью панели управления Java. Эта возможность появилась в последней версии платформы (Java 7 Update 10). При этом отключение надстройки Java может лишить пользователей части функциональности веб-сайтов, использующих приложения Java.

Технические детали:

Как известно, в плагине  Java JRE для веб-браузеров реализован свой собственный менеджер безопасности ( Security Manager). Однако,  обычно веб-апплет выполняется в контексте менеджера безопасности предоставляемого либо самим веб-браузером, либо плагином Java Web start. Согласно технической документации Oracle«If there is a security manager already installed, this method first calls the security manager’s checkPermission method with aRuntimePermission("setSecurityManager") permission to ensure it’s safe to replace the existing security manager. This may result in throwing a SecurityException".
С использованием дефектов кода компонентов Java Management Extensions (JMX) MBean и объектов sun.org.mozilla.javascript.internal,  недоверенный Java-апплет может повысить свои привилегии путём вызова функции setSecurityManager() и собственно получить полные права, без каких-либо проблем с верификацией подписи кода. Данной уязвимости подвержена Oracle Java 7 update 10 и более ранние версии.

Источники:

http://www.us-cert.gov/cas/techalerts/TA13-010A.html

http://www.kb.cert.org/vuls/id/625617

http://www.infoworld.com/d/security/java-zero-day-vulnerability-actively-exploited-attackers-210612

http://tech.onliner.by/2013/01/11/java

 

Possibly Related Posts:


Эксперт сообщества Андрей Фадин

Выпускник МГТУ им. Н.Э.Баумана по специальности "Информационная безопасность". CISSP

Рубрика: bugtracking, информационная безопасность. Метки: . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

  1. Отзывов нет