Polski ekspert znajduje kolejną lukę zero-day w Javie
- Antoni Steliński,
- 27.09.2012, godz. 10:22
Znaleziona przez eksperta luka, dotyczy wszystkich obsługiwanych przez Oracle wersji Javy. Narażone są zarówno systemy Windows jak i komputery z Mac OS.
Najnowszy błąd w Javie został opisany w Full Disclosure). Odkryta luka zero-day pozwala na nieautoryzowane zainstalowanie w systemie, w którym zainstalowana jest Java, dodatkowego oprogramowania (np. trojana).
Polecamy:
Zobacz również:
- Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
- Luka w zabezpieczeniach WordPress
- Apple łata poważne luki - warto zaktualizować swój sprzęt
Warto zaznaczyć, że niedawno ujawniono inny poważny błąd w Javie - stanowił on jednak mniejsza zagrożenie, ponieważ występował wyłącznie w wersji 7 (5 i 6 nie były podatne na atak). Tym razem jest dużo gorzej, bo problem dotyczy wszystkich aktualnych wersji Javy.
Zdaniem Adama Gowdiaka - założyciela i szefa firmy Security Explorations, który znalazł wspomniany błąd, na atak podatnych jest ok. miliarda komputerów z całego świata. Jedynym pocieszeniem jest fakt, iż - w przeciwieństwie do poprzedniej luki - o nowym błędzie nie wiedzą jeszcze przestępcy, więc nie jest on wykorzystywany do atakowania użytkowników.
Istnienie błędu potwierdził już koncern Oracle - niewykluczone więc, że firmie uda się przygotować poprawkę przed 16 października (na ten dzień zaplanowano udostępnienie kolejnego pakietu aktualizacji dla Javy). "Udostępniliśmy publicznie informacje o błędzie [bez podawania szczegółów technicznych - red.], aby użytkownicy dowiedzieli się o problemie i mogli ewentualnie zaplanować jakieś działania zapobiegawcze" - tłumaczy Gowdiak.
Z testów przeprowadzonych przez specjalistę wynika, że przygotowany przez niego prototypowy eksploit działa poprawnie w przypadku wtyczek Java zainstalowanych w aktualnych wersjach przeglądarek Google Chrome, Mozilla Firefox, MS Internet Explorer 9, Opera oraz Apple Safari, w systemie Windows 7.
Dodajmy, że nie jest to pierwsza luka w Javie wykryta przez Gowdiaka - tylko w tym roku zgłosił on Oracle’owi kilkanaście innych problemów z tym oprogramowaniem (w ciągu ostatnich 5 lat odkrył ok. 50 błędów).