Информационные технологииStfw.Ru 🔍
🕛

Уязвимость в Java 7

По заявлениям экспертов, обнаруженная брешь позволяет злоумышленнику обойти песочницу Java.По заявлениям экспертов, обнаруженная брешь позволяет злоумышленнику обойти песочницу Java. Пре
По заявлениям экспертов, обнаруженная брешь позволяет злоумышленнику обойти песочницу Java.


Представители польской компании Security Explorations заявили об обнаружении новой уязвимости в Java 7, которая позволяет злоумышленнику обойти песочницу программного обеспечения и выполнить произвольный код на системе.

Для подтверждения наличия бреши Адам Гоудиак (Adam Gowdiak), генеральный директор и основатель Security Explorations, отправил уведомление с PoC-кодом уязвимости в Oracle. По словам исследователя, уязвимость присутствует в Reflection API – функции в Java 7. В Security Explorations подтвердили, что PoC-код эксплоита работает для Java SE 7 Update 25 и более ранних версий.

Гоудиак заявил, что обнаруженная уязвимость может позволить хакерам осуществить «классическую» атаку для поражения виртуальной машины Java, которая известна уже на протяжении 10 лет.

«Это один из тех рисков, от которого следует защищаться в первую очередь, при нововведениях в Java на уровне ядра виртуальной машины. Удивительно, что защита от такого типа атак не была реализована в Reflection API при разработке Java 7», - заявил эксперт.

По утверждениям исследователя, уязвимость позволяет злоумышленнику нарушить фундаментальные функции безопасности виртуальной машины Java. «В результате атаки мошенник может вносить изменения в операции преобразования типа», - заявил Гоудиак. В Java операции подобного типа должны следовать строгим правилам для того, чтобы доступ к памяти осуществлялся безопасно.

Гоудиак раскритиковал Oracle за присутствие бреши в Java 7 и поднял вопрос об эффективности ПО компании, которое отвечает за обеспечение безопасности, и процедур проверки безопасности кода.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.