Na razie nie ma szczegółowych informacji na temat problemu - wiadomo tylko, że luka umożliwiająca uruchomienie w systemie szkodliwego kodu znajduje się w klasie "MidiDevice.Info" (komponencie wykorzystywanym do obsługi wejścia i wyjścia audio). Autor oferowanego na sprzedaż exploita zapewnia, że jest on stabilny i skuteczny.

O pojawieniu się nowej metody ataku na Javę poinformował we wtorek znany specjalista ds. bezpieczeństwa, Brian Krebs. Regularnie odwiedza on przestępcze fora - tym razem znalazł na nich exploita umożliwiającego skuteczne zaatakowanie w pełni uaktualnionej Javy JRE 7 Update 9. Z opisu wynika, że jest on skuteczny w przypadku Firefoksa oraz MS IE w systemie Windows 7 (a prawdopodobnie również w poprzednich wersjach). Dokładnej ceny nie podano - wiadomo jednak, że jest ona pięciocyfrowa i liczona w USD.

Zobacz również:

• Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
• Luka w zabezpieczeniach WordPress
• Niebotyczne ceny eksploitów zero-day

Dodajmy, że nowy błąd typu zero-day oraz exploit wykryte zostały zaledwie kilkanaście tygodni po ujawnieniu bardzo podobnych (i równie poważnych) błędów w Javie 7. Zdaniem specjalistów ds. bezpieczeństwa, jest to kolejny dowód na to, że firma odpowiedzialna za rozwijanie Javy - czyli Oracle - niespecjalnie się przykłada do zabezpieczenia tego oprogramowania.

To czyni Javę idealnym celem ataków - tym bardziej, że oprogramowanie to jest obecne na co najmniej 3 mld urządzeń na całym świecie. Dodatkowym problemem jest fakt, że wielu użytkowników go nie aktualizuje (z szacunków firmy Rapid7 wynika, że ok. 65% wszystkich zainstalowanych kopii Javy nie jest zaktualizowane do najnowszej werji).

"Wiele osób nawet nie wie, że w ich komputerach jest Java i że powinni instalować poprawki. Problem z bezpieczeństwem Javy jest poważny, a koncern Oracle jeszcze go potęguje - choćby dlatego, że nie współpracuje z specjalistami w celu wzmocnienia zabezpieczeń. Gdyby firma wreszcie się na poważnie za to zabrała, wszyscy byśmy na tym skorzystali" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle.

Zdaniem większości specjalistów najrozsądniejszym sposobem zabezpieczenia się przed atakiem przeprowadzanym przez luki w tym oprogramowaniu jest obecnie wyłączenie Javy w przeglądarce i włączanie jej tylko na czas potrzebny do uruchomienia zaufanych aplikacji. Gorącym orędownikiem takiego rozwiązania jest m.in. Brian Krebs.

Więcej informacji o exploicie znaleźć można w blogu Krebs on Security.