Podatność dnia zerowego w Javie, eksploity już są
- Antoni Steliński,
- 07.12.2012
Na forach wykorzystywanych przez internetowych przestępców oraz autorów złośliwego oprogramowania pojawiły się oferty sprzedaży eksploita wykorzystującego nową lukę w zabezpieczeniach Javy.
To kolejny w ostatnim czasie poważny błąd w tym oprogramowaniu, dlatego specjaliści ds. bezpieczeństwa sugerują, by ograniczyć korzystanie z Javy.
O pojawieniu się nowej metody ataku na Javę poinformował pod koniec listopada br. znany specjalista ds. bezpieczeństwa, Brian Krebs. Regularnie odwiedza on przestępcze fora - tym razem znalazł na nich exploita umożliwiającego skuteczne zaatakowanie w pełni uaktualnionej Javy JRE 7 Update 9. Z opisu wynika, że jest on skuteczny w przypadku Firefoksa oraz Internet Explorera w systemie Windows 7. Obecnie wiadomo, że luka umożliwiająca uruchomienie w systemie szkodliwego kodu znajduje się w klasie "MidiDevice.Info". Autor eksploita zapewnia, że jest on stabilny i skuteczny. Na czarnym rynku taki eksploit kosztuje dziesiątki tysięcy USD.
Dodajmy, że nowa podatność dnia zerowego została wykryta zaledwie kilkanaście tygodni po ujawnieniu bardzo podobnych (i równie poważnych) błędów w Javie 7. Java jest idealnym celem ataków, bo oprogramowanie to jest obecne na co najmniej 3 mld urządzeń na całym świecie a specjaliści uważają, że producent nie przykłada się do bezpieczeństwa tego oprogramowania. Dodatkowym problemem jest fakt, że wielu użytkowników go nie aktualizuje (z szacunków firmy Rapid7 wynika, że ok. 65% wszystkich zainstalowanych kopii Javy nie jest zaktualizowanych do najnowszej wersji).