Контакты
Подписка
МЕНЮ
Контакты
Подписка

Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет

Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет

Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет


16.03.2016



 

Выпущенный в 2013 г. корпорацией Oracle патч для Java, предназначенный для устранения в критической уязвимости, был неэффективен. Об этом сообщили исследователи польской компании Security Explorations, которые еще в 2012 г. и обнаружили эту уязвимость. Она была маркирована как CVE-2013-5838.

Компания Oracle присвоила найденной уязвимости высокую оценку опасности: 9,3 балла из 10 возможных, так как она позволяла злоумышленнику дистанционно скомпрометировать систему.

По словам исследователей, Oracle недостаточно хорошо изучила проблему, и поэтому более двух лет персональные компьютеры оставались уязвимы. Речь идет о миллионах пользователей, подчеркивает Ars Technica.

Для того чтобы возобновить работоспособность эксплойта после внесенных Oracle изменений, достаточно исправить четыре символа в коде экслойта, рассказал генеральный директор Security Explorations Адам Говдяк (Adam Gowdiak).

Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108.

Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java. 

Правда, в большинстве случаев защитить клиентские системы  достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте. 

В августе 2015 г. директор Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в блоге корпорации гневное обращение к исследователям с просьбой прекратить присылать Oracle сообщения о найденных уязвимостях в продуктах компании.

Дело в том, что, по ее словам, изучение кода, как правило, выполняется методом обратного инжиниринга. А этот процесс — есть не что иное, как нарушение пользовательского соглашения на использование продукта.

Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. "Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде", — заявила Девидсон. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры.

Источник:
CNews.ru