В выпущенном 13 января 2013 г. компанией Oracle обновлении Java обнаружены две ошибки, которые можно использовать для обхода песочницы. Как сообщил исполнительный директор компании Security Explorations Адам Говдяк (Adam Gowdiak), обновление, которое, по словам Oracle, должно было закрыть все уязвимости, на самом деле не решает проблем безопасности пользователей Java.
Напомним, на прошлой неделе исследователи компании Immunity обнаружили, что новый апдейт Java не полностью закрывает выявленную ранее «дыру» в Java MbeanServerInterceptor – при условии достаточных знаний особенностей кода Java можно проникнуть в систему, используя вместо закрытой, другую уязвимость нулевого дня.
Как утверждают в Security Explorations выявленные ими ошибки не имеют ничего общего с уязвимостью в MbeanServerInterceptor. Oracle обнаружение новых ошибок не комментирует. Как отмечают эксперты Rapid7, компании Oracle пришлось выпускать заплатку CVE-2013-0422 в кратчайшие сроки, и нет сомнений, что патч 7u11 не полный. Можно предположить, что Oracle продолжает работать над поиском более надежных средств решения данной проблемы.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |