-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Polacy znaleźli kolejne luki zero-day w Javie

25 lutego 2013, 20:13 | Aktualności | komentarze 3

Jak poinformowali polscy specjaliści z firmy Security Explorations, w najnowszej dostępnej wersji Javy 7 Update 15 znalezione zostały kolejne krytyczne luki. Polacy o całej sprawie poinformowali już producenta – firmę Oracle. Użytkownikom popularnego oprogramowania pozostaje więc cierpliwie czekać na kolejne w ostatnim czasie łatanie.

Z raportu opublikowanego przez polską firmę oraz z informacji przekazanych przez założyciela Security Explorations wynika, że mamy do czynienia z podatnościami podobnymi do tych, które przyczyniły się w ostatnim czasie do głośnych infekcji systemów należących do Microsoftu, Facebooka oraz Twittera.

Z dostępnych informacji wynika, że luki (obecnie znane jako issue 54 oraz issue 55) pozwalają na obejście sandboksa i dotyczą wszystkich dostępnych aktualizacji Javy 7, w tym najnowszej 7 Update 15. Sama zaś podatność dotyczy Java Reflection API.

Biorąc powyższe pod uwagę, najlepiej rozważyć całkowitą rezygnację z wykorzystania Javy we własnej przeglądarce internetowej lub też ograniczyć jej użycie wyłącznie do zaufanych aplikacji.

Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Drzejson

    A nie lepiej skorzystać z alternatywnej implementacji javy jak np icedtea?

    Dlaczego polecasz całkowitą rezygnację z javy skoro zawiniło tylko oracje i tylko ich java jest dziurawa?

    Odpowiedz
    • @Drzejson,
      Poleciłem rezygnację — jeśli nie jest komuś koniecznie potrzebna, to będzie najbezpieczniejsza opcja. Poza tym wspomniałem o ograniczeniu się do uruchamiania tylko zaufanych aplikacji, obecne wersje Javy pytają o zezwolenie przy każdym uruchomieniu. Oczywiście wykorzystanie alternatywnej implementacji również może być dobrym sposobem.

      Odpowiedz
  2. m1k0

    Smutne to. Mam nadzieję, że nie wystawili swojej wiedzy na sprzedaż

    Odpowiedz

Odpowiedz