תיקון Java של Oracle מכיל חורים חדשים, מזהירים החוקרים

חוקרים מחברת Security Explorations, חברת מחקר לפגיעות המבוססת על פולנים, טוענים כי מצאו שתי פגיעויות חדשות ב- Java 7 Update 11, שניתן לנצלן כדי לעקוף את התוכנה ארגז חול וביצע קוד שרירותי במחשבים.

Oracle פרסמה את Java 7 Update 11 ביום ראשון האחרון כעדכון אבטחה חירום כדי לחסום ניצול יום אפס המשמש את פושעי אינטרנט להדבקת מחשבים עם תוכנות זדוניות.

Security Explorations אושרה בהצלחה כי ג 'אווה שלם sandbox אבטחה לעקוף עדיין ניתן להשיג תחת Java 7 Update 11 (JRE גירסה 1.7.0_11-b21) על ידי ניצול שתי נקודות תורפה חדשות שהתגלו על ידי כך דיווח היום (ג ') אדם Gowdiak, מייסד החברה, במכתב שנשלח לרשימת הדיוור. הפגיעות דווחה לאורקל ביום שישי, יחד עם קוד ההוכחה העובדתית של שימוש בקוד. [

] [לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

בהתאם למדיניות הגילוי של Security Explorations, פרטים טכניים על הפגיעויות לא יפורסמו בפומבי עד שהספק יטפל בתיקון.

פגיעות של פגיעות לא רלוונטיות

חוקרים מחברת האבטחה Immunity אשר ניתחו את הניצול הנמצא בשימוש על ידי פושעי אינטרנט מאז השבוע שעבר הגיעו למסקנה כי הוא גם שילב שתי פגיעויות כדי להשיג הבריחה ארגז חול. עם זאת, מאוחר יותר הם אמרו בפוסט בבלוג כי Java 7 Update 11 התייחס רק לאחד מהם והזהיר שאם התוקפים ימצאו פגיעות אחרת להחליף את הפלאש, ניתן ליצור ניצול חדש.

הפגיעויות שהתגלו על ידי חקר האבטחה הן בנפרד מאלה שנותרו על ידי אורקל בג'אווה 7 Update 11, אמר Gowdiak יום שישי באמצעות דוא"ל.

כמה חוקרים בתחום האבטחה, כולל אלה של ארה"ב המחשב חירום מוכנות צוות (US-CERT), המשיכו לייעץ למשתמשים להשבית את Java, על אף שחרורו של ג'אווה 7 עדכון 11, בצטטו חששות כי התקפות דומות עשויות להתרחש בעתיד. "יש בהחלט משהו מדאיג לגבי האיכות של Java SE 7 קוד", אמר Gowdiak. דבר זה עשוי להצביע על היעדר תוכנית ראויה של מחזור חיי פיתוח מאובטח עבור Java או כמה בעיות אחרות שהן פנימיות לאורקל. לדבריו, העובדה ש- Java 7 Update 11 מבקשת לאשר את המשתמשים לפני שתאפשר ליישומי Java להיות להורג בתוך דפדפנים הוא בהחלט צעד בכיוון הנכון יכול לחסום התקפות רבות, אמר Gowdiak