`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Максим Голубев

Критическая уязвимость в Java. Рекомендовано отключить плагин Java во всех браузерах

+66
голосов

26 августа был опубликован отчет об обнаружении новой критической уязвимости в Java. Под «прицелом» находятся почти все виртуальные среды Java Runtime Environment (JRE) вплоть до JRE 1.7x.

Для данной уязвимости уже существует эксплойт, а также зафиксированы первые случаи атак. Есть информация, что в ближайшее время новый эксплойт добавят в популярный набор Blackhole, и тогда с опасностью вплотную столкнутся миллионы обычных пользователей интернета. По предварительной информации, эксплойт работает во всех браузерах. Известный независимый исследователь в сфере ИТ-безопасности Брайан Кребс поговорил с разработчиками Blackhole – они сообщили, что стоимость подобной Java-уязвимости на чёрном рынке составляет до $100 тыс., если готовый эксплойт продают для эксклюзивного использования.

27 августа, команда по быстрому реагированию на инциденты в сфере компьютерной безопасности US-CERT выпустила предупреждение TA12-240A, в котором речь идёт об данном эксплойте. Технические детали уязвимости описаны в VU#636312.

US-CERT рекомендует всем пользователям отключить плагин Java во всех браузерах, в качестве временной меры, до того как Oracle не выпустит патч, для данной уязвимости.

Инструкции по отключению плагинов для разных браузеров:

В  зависимости от версии Windows и плагина Java, ключ может располагаться в следующих разделах:

HKLM\Software\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer

HKLM\Software\Wow6432Node\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer

Также рекомендуется использовать расширения наподобие NoScript, для Mozilla Firefox.

+66
голосов

Напечатать Отправить другу

Читайте также

Дело конечно не хорошее, но в тотальную панику опытным пользователям впадать не надо. Для подобной атаки пользователь должен зайти на веб-страницу, которая подготовлена злоумышленником. Вот то утверждение, что java-applet может быть не подписан доверенным ключом, это уже похуже.

Вопрос доверия к источнику - веб-сайту и его содержимому...

Я просто запретил автоматичесую загрузку и исполнение всех плагинов в Хроме. В результате:

1. Хром не так прожорлив
2. Странички быстрее грузятся
3. Избавлен от подобных проблем

А Java-аплеты я запускаю только на тех сайтах, которым доверяю.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT