Защита ПК! Форум.

Защита компьютера от вирусов

Партнеры

Создать форум

Кто сейчас на форуме

Сейчас посетителей на форуме: 2, из них зарегистрированных: 0, скрытых: 0 и гостей: 2

Нет


[ Посмотреть весь список ]


Больше всего посетителей (120) здесь было Ср Авг 02, 2017 2:06 pm

RSS-каналы


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 

    Выпущен патч для опасной уязвимости в Java

    Admin
    Admin
    Admin

    Сообщения : 656
    Дата регистрации : 2010-12-25
    Возраст : 51
    Откуда : Киев

    Выпущен патч для опасной уязвимости в Java Empty Выпущен патч для опасной уязвимости в Java

    Сообщение  Admin в Пт Авг 31, 2012 5:09 am

    Компания Oracle выпустила «раннее» исправление для
    критической проблемы с безопасностью в технологии Java, которую сейчас
    контролирует после поглощения компании SUN Microsystems. Тем не менее, у этой
    истории есть и оборотная сторона – как выясняется, об уязвимости сообщали уже
    несколько месяцев назад, после чего киберпреступники успели широко
    воспользоваться эксплойтами для нее.



    Итак, официальный патч для уязвимости, получившей широкую огласку на этой
    неделе
    , вышел 30 августа. Как стало известно, исправленная уязвимость
    открывала злоумышленникам канал для запуска произвольного кода на системе
    клиента во время просмотра зараженной веб-страницы. Более того, от уязвимости
    пострадали все целевые платформы Java, включая Windows, Linux и Mac OS X.
    Эксплойт для этой проблемы даже включен в состав популярного хакерского
    инструментария Black Hole, откуда он распространился по всему Интернету.

    Необходимые исправления можно найти на сайте Java.com, где
    они доступны под названием Java 7 update 7. Патч вышел за несколько месяцев до
    планового обновления платформы Java, изначально намеченного на октябрь текущего
    года. Возможно, такой необычный для Oracle шаг вызван негативной реакцией
    экспертов по ИТ-защите, которые рекомендовали вообще отключить Java в целях безопасности.

    Даже после выпуска патча эксперты продолжают обвинять
    компанию Oracle в бездействии. Польская фирма Security Explorations заявляет,
    что предупреждала Oracle об этой и других проблемах еще в апреле текущего года
    и даже получила подтверждение со стороны Oracle о том, что сообщение принято к
    рассмотрению. Несмотря на эти подтверждения, лишь две из 31 сообщенных проблем
    были исправлены в июньском плановом обновлении.

    Часть экспертов, включая компанию Rapid 7, создавшей
    известный инструмент для проверки на устойчивость к вторжениям Metasploit,
    убеждены, что новый патч исправляет лишь наиболее очевидные проблемы с
    безопасностью. Даже если патч окажется действенным, в реальные системы он
    попадет лишь через несколько месяцев. Дело в том, что большинство пользователей
    обновляют Java совсем не сразу, а пользователям Linux и Mac OS X часто
    приходится ждать обновлений намного дольше, чем пользователям Windows. Например,
    когда распространился вирус Flashback, заразивший более 600 000 компьютеров
    Mac, у киберпреступников была фора в три с лишним месяца, пока компания Apple внесла
    выпущенные Oracle исправления в свой дистрибутив Java.

    Критике подвергся даже способ, которым компания Oracle сообщила
    о выпуске патча. Так, Ицхак Аврахам (Itzhak Avraham), директор фирмы Zimperium
    (инструменты для проверки устойчивости к кибер-атакам), отметил, что
    автоматическое обновление не решает проблемы – необходимо обновляться только
    вручную. Кроме того, компания Oracle не делала публичных заявлений с признанием
    этой крайне серьезной проблемы и сообщением о выпуске важного исправления –
    вышел лишь довольно неконкретный пресс-релиз с единичным упоминанием об
    исправлении.

    Ситуацию хорошо описывает запись одной из сотрудниц компании
    Veracode: «На сайте вообще нет упоминаний о том, что это критическая проблема
    безопасности. Инженерам Oracle, которые проработали сутки или двое без сна -
    спасибо. Службе Oracle по связям с общественностью: вы ужасные люди,
    заслуживающие наказания».


    По материалам сайтов Ars Technica, PC World и Forbes.

      Текущее время Пт Сен 25, 2020 9:26 am

      Яндекс.Метрика