Поделиться
Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет
В 2013 г. Oracle не смогла устранить уязвимость в Java, однако выяснилось это только сейчас. Более двух лет ПК миллионов пользователей и серверы оставались уязвимы к хакерским атакам.
Неэффективный патч
Выпущенный в 2013 г. корпорацией Oracle патч для Java, предназначенный для устранения в критической уязвимости, был неэффективен. Об этом сообщили исследователи польской компании Security Explorations, которые еще в 2012 г. и обнаружили эту уязвимость. Она была маркирована как CVE-2013-5838.
Компания Oracle присвоила найденной уязвимости высокую оценку опасности: 9,3 балла из 10 возможных, так как она позволяла злоумышленнику дистанционно скомпрометировать систему.
Миллионы пользователей с «дырой» на ПК
По словам исследователей, Oracle недостаточно хорошо изучила проблему, и поэтому более двух лет персональные компьютеры оставались уязвимы. Речь идет о миллионах пользователей, подчеркивает Ars Technica.
Четыре символа в коде
Для того чтобы возобновить работоспособность эксплойта после внесенных Oracle изменений, достаточно исправить четыре символа в коде экслойта, рассказал генеральный директор Security Explorations Адам Говдяк (Adam Gowdiak).
Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет
Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108.
Неправильная оценка уязвимости
Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java.
Как себя обезопасить
Правда, в большинстве случаев защитить клиентские системы достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте.
Самостоятельность Oracle
В августе 2015 г. директор Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в блоге корпорации гневное обращение к исследователям с просьбой прекратить присылать Oracle сообщения о найденных уязвимостях в продуктах компании.
Дело в том, что, по ее словам, изучение кода, как правило, выполняется методом обратного инжиниринга. А этот процесс — есть не что иное, как нарушение пользовательского соглашения на использование продукта.
Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. «Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде», — заявила Девидсон. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры.
Поделиться
Короткая ссылка
