Компания Oracle выпустила «раннее» исправление для
критической проблемы с безопасностью в технологии Java, которую сейчас
контролирует после поглощения компании SUN Microsystems. Тем не менее, у этой
истории есть и оборотная сторона – как выясняется, об уязвимости сообщали уже
несколько месяцев назад, после чего киберпреступники успели широко
воспользоваться эксплойтами для нее.
Итак, официальный патч для уязвимости, получившей широкую огласку на этой
неделе, вышел 30 августа. Как стало известно, исправленная уязвимость
открывала злоумышленникам канал для запуска произвольного кода на системе
клиента во время просмотра зараженной веб-страницы. Более того, от уязвимости
пострадали все целевые платформы Java, включая Windows, Linux и Mac OS X.
Эксплойт для этой проблемы даже включен в состав популярного хакерского
инструментария Black Hole, откуда он распространился по всему Интернету.
Необходимые исправления можно найти на сайте Java.com, где
они доступны под названием Java 7 update 7. Патч вышел за несколько месяцев до
планового обновления платформы Java, изначально намеченного на октябрь текущего
года. Возможно, такой необычный для Oracle шаг вызван негативной реакцией
экспертов по ИТ-защите, которые рекомендовали вообще отключить Java в целях безопасности.
Даже после выпуска патча эксперты продолжают обвинять
компанию Oracle в бездействии. Польская фирма Security Explorations заявляет,
что предупреждала Oracle об этой и других проблемах еще в апреле текущего года
и даже получила подтверждение со стороны Oracle о том, что сообщение принято к
рассмотрению. Несмотря на эти подтверждения, лишь две из 31 сообщенных проблем
были исправлены в июньском плановом обновлении.
Часть экспертов, включая компанию Rapid 7, создавшей
известный инструмент для проверки на устойчивость к вторжениям Metasploit,
убеждены, что новый патч исправляет лишь наиболее очевидные проблемы с
безопасностью. Даже если патч окажется действенным, в реальные системы он
попадет лишь через несколько месяцев. Дело в том, что большинство пользователей
обновляют Java совсем не сразу, а пользователям Linux и Mac OS X часто
приходится ждать обновлений намного дольше, чем пользователям Windows. Например,
когда распространился вирус Flashback, заразивший более 600 000 компьютеров
Mac, у киберпреступников была фора в три с лишним месяца, пока компания Apple внесла
выпущенные Oracle исправления в свой дистрибутив Java.
Критике подвергся даже способ, которым компания Oracle сообщила
о выпуске патча. Так, Ицхак Аврахам (Itzhak Avraham), директор фирмы Zimperium
(инструменты для проверки устойчивости к кибер-атакам), отметил, что
автоматическое обновление не решает проблемы – необходимо обновляться только
вручную. Кроме того, компания Oracle не делала публичных заявлений с признанием
этой крайне серьезной проблемы и сообщением о выпуске важного исправления –
вышел лишь довольно неконкретный пресс-релиз с единичным упоминанием об
исправлении.
Ситуацию хорошо описывает запись одной из сотрудниц компании
Veracode: «На сайте вообще нет упоминаний о том, что это критическая проблема
безопасности. Инженерам Oracle, которые проработали сутки или двое без сна -
спасибо. Службе Oracle по связям с общественностью: вы ужасные люди,
заслуживающие наказания».
По материалам сайтов Ars Technica, PC World и Forbes.
критической проблемы с безопасностью в технологии Java, которую сейчас
контролирует после поглощения компании SUN Microsystems. Тем не менее, у этой
истории есть и оборотная сторона – как выясняется, об уязвимости сообщали уже
несколько месяцев назад, после чего киберпреступники успели широко
воспользоваться эксплойтами для нее.
Итак, официальный патч для уязвимости, получившей широкую огласку на этой
неделе, вышел 30 августа. Как стало известно, исправленная уязвимость
открывала злоумышленникам канал для запуска произвольного кода на системе
клиента во время просмотра зараженной веб-страницы. Более того, от уязвимости
пострадали все целевые платформы Java, включая Windows, Linux и Mac OS X.
Эксплойт для этой проблемы даже включен в состав популярного хакерского
инструментария Black Hole, откуда он распространился по всему Интернету.
Необходимые исправления можно найти на сайте Java.com, где
они доступны под названием Java 7 update 7. Патч вышел за несколько месяцев до
планового обновления платформы Java, изначально намеченного на октябрь текущего
года. Возможно, такой необычный для Oracle шаг вызван негативной реакцией
экспертов по ИТ-защите, которые рекомендовали вообще отключить Java в целях безопасности.
Даже после выпуска патча эксперты продолжают обвинять
компанию Oracle в бездействии. Польская фирма Security Explorations заявляет,
что предупреждала Oracle об этой и других проблемах еще в апреле текущего года
и даже получила подтверждение со стороны Oracle о том, что сообщение принято к
рассмотрению. Несмотря на эти подтверждения, лишь две из 31 сообщенных проблем
были исправлены в июньском плановом обновлении.
Часть экспертов, включая компанию Rapid 7, создавшей
известный инструмент для проверки на устойчивость к вторжениям Metasploit,
убеждены, что новый патч исправляет лишь наиболее очевидные проблемы с
безопасностью. Даже если патч окажется действенным, в реальные системы он
попадет лишь через несколько месяцев. Дело в том, что большинство пользователей
обновляют Java совсем не сразу, а пользователям Linux и Mac OS X часто
приходится ждать обновлений намного дольше, чем пользователям Windows. Например,
когда распространился вирус Flashback, заразивший более 600 000 компьютеров
Mac, у киберпреступников была фора в три с лишним месяца, пока компания Apple внесла
выпущенные Oracle исправления в свой дистрибутив Java.
Критике подвергся даже способ, которым компания Oracle сообщила
о выпуске патча. Так, Ицхак Аврахам (Itzhak Avraham), директор фирмы Zimperium
(инструменты для проверки устойчивости к кибер-атакам), отметил, что
автоматическое обновление не решает проблемы – необходимо обновляться только
вручную. Кроме того, компания Oracle не делала публичных заявлений с признанием
этой крайне серьезной проблемы и сообщением о выпуске важного исправления –
вышел лишь довольно неконкретный пресс-релиз с единичным упоминанием об
исправлении.
Ситуацию хорошо описывает запись одной из сотрудниц компании
Veracode: «На сайте вообще нет упоминаний о том, что это критическая проблема
безопасности. Инженерам Oracle, которые проработали сутки или двое без сна -
спасибо. Службе Oracle по связям с общественностью: вы ужасные люди,
заслуживающие наказания».
По материалам сайтов Ars Technica, PC World и Forbes.
» Шифровальщик CryptXXX 3.0 обезвредили!
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
» 360 Total Security 8.8.0.1083 [Multi/Ru]
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
» Новый вариант трояна Kovter маскируется под обновления для Firefox
» Эксперт представил способ похищения данных через кулер компьютера