Едва корпорация Oracle выпустила набор патчей (в том числе исправление последней известной уязвимости Java), как стало известно о том, что в Сети продается информация о ранее неизвестной уязвимости Java, так называемой уязвимости нулевого дня. По информации Infoworld, созданный на базе этой уязвимости эксплойт уже вовсю продается на хакерских форумах по цене 5000 долл. Сообщается, что предлагаемый для продажи пакет помимо эксплойта включает его исходный код, что позволяет встраивать его в другие типы вредоносных программ. Кроме того, продавцы уверяют, что эксплойт никак не связан с устраненной на днях уязвимостью Java CVE-2013-0422.
Oracle пока что не отреагировала на появление новой критической уязвимости. В то же время продавцы эксплойта зявляют, что “продукт” пригоден для “немедленной атаки и его невозможно устранить (кроме изменения кода Java)”. В Oracle пока не прокомментировали информацию об этой уязвимости.
Ранее ряд независимых экспертов предупреждали Oracle, что компания устранила не все уязвимости в последней версии Java. К примеру, антивирусная компания Trend Micro сообщала, что последняя версия Java 7 Update 11 может иметь потенциальные уязвимости, хотя при этом добавляла, что ей не известны случаи их активного использования.
Напомним, что последняя критически опасная уязвимость в среде Java уже успела наделать немало шума в ИТ-среде, так как она, во-первых, позволяла внедрить через браузер на компьютер-жертву любой файл и исполнить его, а во-вторых, эксплойт для нее активно распространялся в Сети.
Независимые специалисты говорят, что в отличие от многих других уязвимостей Java-уязвимости опасны тем, что эта платформа имеет гигантскую пользовательскую базу (более 1 млрд. устройств) и работает на большинстве современных мобильных, серверных и настольных платформ, поэтому в большинстве случаев под ударом оказываются пользователи множества систем одновременно.
Несмотря на выпуск компанией Oracle обновления, предназначенного для устранения уязвимостей в Java для браузеров, Министерство внутренней безопасности США по-прежнему не рекомендует владельцам компьютеров пользоваться этой платформой ввиду сохранившейся опасности хакерского проникновения.
По мнению экспертов US-CERT (группа быстрого реагирования на компьютерные инциденты при Министерстве внутренней безопасности США), выпуск обновления (версия Java 7 Update 11) не решает проблему уязвимости платформы Java, использование которой повышает риск хакерского проникновения с целью кражи информации о пользователе, включая данные платежных карт и пароли доступа к различным ресурсам.