Компания Oracle выпустила «раннее» исправление для
критической проблемы с безопасностью в технологии Java, которую сейчас
контролирует после поглощения компании SUN Microsystems. Тем не менее, у этой
истории есть и оборотная сторона – как выясняется, об уязвимости сообщали уже
несколько месяцев назад, после чего киберпреступники успели широко
воспользоваться эксплойтами для нее.
Итак, официальный патч для уязвимости, получившей широкую огласку на этой
неделе, вышел 30 августа. Как стало известно, исправленная уязвимость
открывала злоумышленникам канал для запуска произвольного кода на системе
клиента во время просмотра зараженной веб-страницы. Более того, от уязвимости
пострадали все целевые платформы Java, включая Windows, Linux и Mac OS X.
Эксплойт для этой проблемы даже включен в состав популярного хакерского
инструментария Black Hole, откуда он распространился по всему Интернету.
Необходимые исправления можно найти на сайте Java.com, где
они доступны под названием Java 7 update 7. Патч вышел за несколько месяцев до
планового обновления платформы Java, изначально намеченного на октябрь текущего
года. Возможно, такой необычный для Oracle шаг вызван негативной реакцией
экспертов по ИТ-защите, которые рекомендовали вообще отключить Java в целях безопасности.
Даже после выпуска патча эксперты продолжают обвинять
компанию Oracle в бездействии. Польская фирма Security Explorations заявляет,
что предупреждала Oracle об этой и других проблемах еще в апреле текущего года
и даже получила подтверждение со стороны Oracle о том, что сообщение принято к
рассмотрению. Несмотря на эти подтверждения, лишь две из 31 сообщенных проблем
были исправлены в июньском плановом обновлении.
Часть экспертов, включая компанию Rapid 7, создавшей
известный инструмент для проверки на устойчивость к вторжениям Metasploit,
убеждены, что новый патч исправляет лишь наиболее очевидные проблемы с
безопасностью. Даже если патч окажется действенным, в реальные системы он
попадет лишь через несколько месяцев. Дело в том, что большинство пользователей
обновляют Java совсем не сразу, а пользователям Linux и Mac OS X часто
приходится ждать обновлений намного дольше, чем пользователям Windows. Например,
когда распространился вирус Flashback, заразивший более 600 000 компьютеров
Mac, у киберпреступников была фора в три с лишним месяца, пока компания Apple внесла
выпущенные Oracle исправления в свой дистрибутив Java.
Критике подвергся даже способ, которым компания Oracle сообщила
о выпуске патча. Так, Ицхак Аврахам (Itzhak Avraham), директор фирмы Zimperium
(инструменты для проверки устойчивости к кибер-атакам), отметил, что
автоматическое обновление не решает проблемы – необходимо обновляться только
вручную. Кроме того, компания Oracle не делала публичных заявлений с признанием
этой крайне серьезной проблемы и сообщением о выпуске важного исправления –
вышел лишь довольно неконкретный пресс-релиз с единичным упоминанием об
исправлении.
Ситуацию хорошо описывает запись одной из сотрудниц компании
Veracode: «На сайте вообще нет упоминаний о том, что это критическая проблема
безопасности. Инженерам Oracle, которые проработали сутки или двое без сна -
спасибо. Службе Oracle по связям с общественностью: вы ужасные люди,
заслуживающие наказания».
По материалам сайтов Ars Technica, PC World и Forbes.
критической проблемы с безопасностью в технологии Java, которую сейчас
контролирует после поглощения компании SUN Microsystems. Тем не менее, у этой
истории есть и оборотная сторона – как выясняется, об уязвимости сообщали уже
несколько месяцев назад, после чего киберпреступники успели широко
воспользоваться эксплойтами для нее.
Итак, официальный патч для уязвимости, получившей широкую огласку на этой
неделе, вышел 30 августа. Как стало известно, исправленная уязвимость
открывала злоумышленникам канал для запуска произвольного кода на системе
клиента во время просмотра зараженной веб-страницы. Более того, от уязвимости
пострадали все целевые платформы Java, включая Windows, Linux и Mac OS X.
Эксплойт для этой проблемы даже включен в состав популярного хакерского
инструментария Black Hole, откуда он распространился по всему Интернету.
Необходимые исправления можно найти на сайте Java.com, где
они доступны под названием Java 7 update 7. Патч вышел за несколько месяцев до
планового обновления платформы Java, изначально намеченного на октябрь текущего
года. Возможно, такой необычный для Oracle шаг вызван негативной реакцией
экспертов по ИТ-защите, которые рекомендовали вообще отключить Java в целях безопасности.
Даже после выпуска патча эксперты продолжают обвинять
компанию Oracle в бездействии. Польская фирма Security Explorations заявляет,
что предупреждала Oracle об этой и других проблемах еще в апреле текущего года
и даже получила подтверждение со стороны Oracle о том, что сообщение принято к
рассмотрению. Несмотря на эти подтверждения, лишь две из 31 сообщенных проблем
были исправлены в июньском плановом обновлении.
Часть экспертов, включая компанию Rapid 7, создавшей
известный инструмент для проверки на устойчивость к вторжениям Metasploit,
убеждены, что новый патч исправляет лишь наиболее очевидные проблемы с
безопасностью. Даже если патч окажется действенным, в реальные системы он
попадет лишь через несколько месяцев. Дело в том, что большинство пользователей
обновляют Java совсем не сразу, а пользователям Linux и Mac OS X часто
приходится ждать обновлений намного дольше, чем пользователям Windows. Например,
когда распространился вирус Flashback, заразивший более 600 000 компьютеров
Mac, у киберпреступников была фора в три с лишним месяца, пока компания Apple внесла
выпущенные Oracle исправления в свой дистрибутив Java.
Критике подвергся даже способ, которым компания Oracle сообщила
о выпуске патча. Так, Ицхак Аврахам (Itzhak Avraham), директор фирмы Zimperium
(инструменты для проверки устойчивости к кибер-атакам), отметил, что
автоматическое обновление не решает проблемы – необходимо обновляться только
вручную. Кроме того, компания Oracle не делала публичных заявлений с признанием
этой крайне серьезной проблемы и сообщением о выпуске важного исправления –
вышел лишь довольно неконкретный пресс-релиз с единичным упоминанием об
исправлении.
Ситуацию хорошо описывает запись одной из сотрудниц компании
Veracode: «На сайте вообще нет упоминаний о том, что это критическая проблема
безопасности. Инженерам Oracle, которые проработали сутки или двое без сна -
спасибо. Службе Oracle по связям с общественностью: вы ужасные люди,
заслуживающие наказания».
По материалам сайтов Ars Technica, PC World и Forbes.
Пт Май 12, 2017 9:09 pm автор Admin
» Шифровальщик CryptXXX 3.0 обезвредили!
Пт Дек 23, 2016 11:43 pm автор Admin
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
Вт Ноя 29, 2016 12:41 am автор Admin
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
Ср Ноя 02, 2016 3:05 am автор Admin
» 360 Total Security 8.8.0.1083 [Multi/Ru]
Пн Окт 24, 2016 10:06 pm автор Admin
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
Пт Окт 21, 2016 11:31 pm автор Admin
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
Пн Авг 15, 2016 12:54 am автор Admin
» Новый вариант трояна Kovter маскируется под обновления для Firefox
Пт Июл 08, 2016 4:14 am автор Admin
» Эксперт представил способ похищения данных через кулер компьютера
Пт Июн 24, 2016 5:24 am автор Admin