Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Polacy znaleźli kolejne luki zero-day w Javie
Jak poinformowali polscy specjaliści z firmy Security Explorations, w najnowszej dostępnej wersji Javy 7 Update 15 znalezione zostały kolejne krytyczne luki. Polacy o całej sprawie poinformowali już producenta – firmę Oracle. Użytkownikom popularnego oprogramowania pozostaje więc cierpliwie czekać na kolejne w ostatnim czasie łatanie.
Z raportu opublikowanego przez polską firmę oraz z informacji przekazanych przez założyciela Security Explorations wynika, że mamy do czynienia z podatnościami podobnymi do tych, które przyczyniły się w ostatnim czasie do głośnych infekcji systemów należących do Microsoftu, Facebooka oraz Twittera.
Z dostępnych informacji wynika, że luki (obecnie znane jako issue 54 oraz issue 55) pozwalają na obejście sandboksa i dotyczą wszystkich dostępnych aktualizacji Javy 7, w tym najnowszej 7 Update 15. Sama zaś podatność dotyczy Java Reflection API.
Biorąc powyższe pod uwagę, najlepiej rozważyć całkowitą rezygnację z wykorzystania Javy we własnej przeglądarce internetowej lub też ograniczyć jej użycie wyłącznie do zaufanych aplikacji.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
A nie lepiej skorzystać z alternatywnej implementacji javy jak np icedtea?
Dlaczego polecasz całkowitą rezygnację z javy skoro zawiniło tylko oracje i tylko ich java jest dziurawa?
@Drzejson,
Poleciłem rezygnację — jeśli nie jest komuś koniecznie potrzebna, to będzie najbezpieczniejsza opcja. Poza tym wspomniałem o ograniczeniu się do uruchamiania tylko zaufanych aplikacji, obecne wersje Javy pytają o zezwolenie przy każdym uruchomieniu. Oczywiście wykorzystanie alternatywnej implementacji również może być dobrym sposobem.
Smutne to. Mam nadzieję, że nie wystawili swojej wiedzy na sprzedaż