Polacy znaleźli kolejne luki zero-day w Javie

25 lutego 2013, 20:13 | Aktualności | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Jak poinformowali polscy specjaliści z firmy Security Explorations, w najnowszej dostępnej wersji Javy 7 Update 15 znalezione zostały kolejne krytyczne luki. Polacy o całej sprawie poinformowali już producenta – firmę Oracle. Użytkownikom popularnego oprogramowania pozostaje więc cierpliwie czekać na kolejne w ostatnim czasie łatanie.

Z raportu opublikowanego przez polską firmę oraz z informacji przekazanych przez założyciela Security Explorations wynika, że mamy do czynienia z podatnościami podobnymi do tych, które przyczyniły się w ostatnim czasie do głośnych infekcji systemów należących do Microsoftu, Facebooka oraz Twittera.

Z dostępnych informacji wynika, że luki (obecnie znane jako issue 54 oraz issue 55) pozwalają na obejście sandboksa i dotyczą wszystkich dostępnych aktualizacji Javy 7, w tym najnowszej 7 Update 15. Sama zaś podatność dotyczy Java Reflection API.

Biorąc powyższe pod uwagę, najlepiej rozważyć całkowitą rezygnację z wykorzystania Javy we własnej przeglądarce internetowej lub też ograniczyć jej użycie wyłącznie do zaufanych aplikacji.

Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Drzejson

    A nie lepiej skorzystać z alternatywnej implementacji javy jak np icedtea?

    Dlaczego polecasz całkowitą rezygnację z javy skoro zawiniło tylko oracje i tylko ich java jest dziurawa?

    Odpowiedz
    • @Drzejson,
      Poleciłem rezygnację — jeśli nie jest komuś koniecznie potrzebna, to będzie najbezpieczniejsza opcja. Poza tym wspomniałem o ograniczeniu się do uruchamiania tylko zaufanych aplikacji, obecne wersje Javy pytają o zezwolenie przy każdym uruchomieniu. Oczywiście wykorzystanie alternatywnej implementacji również może być dobrym sposobem.

      Odpowiedz
  2. m1k0

    Smutne to. Mam nadzieję, że nie wystawili swojej wiedzy na sprzedaż

    Odpowiedz

Odpowiedz na m1k0