Исследователи обнаружили критическую уязвимость в Java 7 Patch Hours After Release

Исследователи безопасности из польской фирмы Security Security заявили, что обнаружили уязвимость в обновленном выпуске безопасности Java 7, выпущенном в четверг, который может быть использован для выхода из изолированной программной среды Java и выполнения произвольного кода на базовой системе.

Исследования безопасности отправили отчет об уязвимости в Oracle в пятницу вместе с эксплойтом с доказательством концепции. Адам Гоудяк, основатель и главный исполнительный директор компании по безопасности, заявил в пятницу по электронной почте.

Компания не делает 'планируем опубликовать какие-либо технические подробности об этой уязвимости публично до тех пор, пока Oracle не обратится к ней, сказал Гоудяк.

[Подробнее читайте: Как удалить вредоносное ПО из ваш ПК с ОС Windows]

В четверг Oracle вырвался из своего регулярного четырехмесячного цикла исправления, выпустив обновление 7 для 7 7-го уровня безопасности, которое предназначено для устранения трех уязвимостей, в том числе два, которые злоумышленники использовали для заражения компьютеров вредоносными программами на прошлой неделе.

Java 7 Update 7 также исправила «проблему безопасности в глубину», которая, согласно Oracle, не была непосредственно использована, но могла быть использована для усугубления влияния других уязвимостей.

Патч этой «серьезной проблемы безопасности», которую Gowdiak называет «эксплуатационным вектором», предоставил всю защиту от обхода безопасности виртуальной машины Java (JVM), ранее представленную польской фирмой по безопасности в Oracle , неэффективен.

Согласно Gowdiak, исследования безопасности в частном порядке сообщили о 29 уязвимостях в Java 7 для Oracle еще в апреле, в том числе о тех, которые в настоящее время активно используются злоумышленниками.

Отчеты сопровождались в общей сложности 16 документами, из-Conce pt, которые объединили эти уязвимости, чтобы полностью обойти изолированную среду Java и выполнить произвольный код в базовой системе.

Удаление методов getField и getMethod из реализации класса sun.awt.SunToolkit в Java 7 Update 7 отключил все из-за эксплойтов PoC, связанных с безопасностью, Gowdiak сказал.

Однако это произошло только потому, что «эксплуатационный вектор» был удален, а не потому, что все уязвимости, предназначенные для эксплойтов, были исправлены, сказал Гоудяк.

Новая уязвимость, обнаруженная Security Исследования в версии 7 Java 7 могут быть объединены с некоторыми из уязвимостей, оставшихся без доступа к Oracle, для полного обхода байпаса JVM.

«Как только мы обнаружили, что наши полные коды обхода изолированной Java-оболочки перестали работать после того, как обновление было применено, мы снова посмотрел на коды POC и начал думать о возможных способах полного разблокирования последнего обновления Java », - сказал Гоудяк. «Появилась новая идея, она была проверена, и оказалось, что так оно и было».

Gowdiak не знает, когда Oracle планирует устранить оставшиеся уязвимости, о которых сообщалось в блогах Security Explorations в апреле, или о новой, представленной компанией безопасности в пятницу.

Неясно, выпустит ли Oracle новое обновление безопасности Java в октябре, как планировалось ранее. Компания не сразу вернула запрос для комментариев.

Исследователи безопасности всегда предупреждали, что если поставщики займут слишком много времени, чтобы обратиться к сообщаемой уязвимости, они могут быть обнаружены плохими парнями в то же время, если они еще не знают об этом.

Много раз случалось, что разные охотники за ошибками обнаруживали одну и ту же уязвимость в одном продукте независимо друг от друга, и это могло произойти и в случае двух активно используемых уязвимостей Java, которые были устранены при обновлении Java 7 7.

«Независимые открытия никогда не могут быть исключены», - сказал Говдяк. «Эта конкретная проблема [новая уязвимость] может быть, однако, немного сложнее найти».

Основываясь на опыте исследователей по исследованиям в области безопасности с поиском уязвимостей Java до сих пор, у Java 6 есть более высокая безопасность, чем Java 7. «Ява 7 на удивление намного проще для нас сломать», - сказал Говдяк. «Для Java 6 нам не удалось достичь полного компрометации в песочнице, за исключением проблемы, обнаруженной в программном обеспечении Apple Quicktime для Java».

Gowdiak повторил то, что многие исследователи безопасности говорили раньше: если вам не нужно Java, удалите его из своей системы.