Команда по быстрому реагированию на инциденты в сфере компьютерной безопасности US-CERT выпустила предупреждение TA12-240A, в котором речь идёт об опасном Java-эксплойте.
В бюллетене сообщается, что уязвимость затрагивает все системы, где установлена Oracle Java 7 (1.7, 1.7.0), включая Java Platform Standard Edition 7 (Java SE 7), Java SE Development Kit (JDK 7) и Java SE Runtime Environment (JRE 7). Наибольшему риску подвергаются браузеры с установленным Java-плагином, поскольку через них становится возможным удалённое исполнение кода. Проще говоря, Java Security Manager позволяет специально сконструированному Java-апплету выполнять произвольные команды в операционной системе на компьютере жертвы.
Уязвимости подвержены все браузеры с установленным плагином Java 7. В связи с этим US-CERT рекомендует всем пользователям отключить плагин Java во всех браузерах, в качестве временной меры. Отключение в Safari Отключение в Firefox Отключение в Chrome Для Internet Explorer можно попробовать отключить плагин через программу javacpl.exe, но этот метод ненадёжный. Лучше найти запись UseJava2IExplorer в реестре и установить ей значение в 0. В зависимости от версии Windows и плагина Java, ключ может располагаться в следующих разделах:
HKLM\Software\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer HKLM\Software\Wow6432Node\JavaSoft\Java Plug-in\{version}\UseJava2IExplorer Вместо отключения плагина в браузерах можно использовать расширения вроде NoScript для избирательного блокирования Java-апплетов на отдельных сайтах или на всех сайтах, со списком исключений. http://www.xakep.ru/post/59226/
Oracle знала о дыре в Java с апреля этого года История с критической уязвимостью Java грозит обернуться скандалом, весьма неприятным для Oracle. Сейчас выяснилось, что Oracle знала об уязвимости ещё с апреля 2012 года, но не успела её закрыть в июньском патче. Проблема Oracle в том, что компания строго придерживается четырёхмесячного графика выпуска патчей (февраль-июнь-октябрь), а уязвимостей накопилось слишком много.
Польская хакерская компания Security Explorations опубликовала список уязвимостей, которые она обнаружила и отправила в компании Oracle и Apple, начиная с апреля. В частности, со 2 по 27 апреля 2012 года в Oracle была отправлена 31 уязвимость и фрагменты кода proof-of-concept с демонстрацией возможных эксплойтов. На странице Security Explorations подробно расписано, когда приходил ответ от Oracle по каждой уязвимости, когда этим уязвимостям присваивались номера слежения во внутренней системе тикетов и — как результат — когда уязвимости были закрыты, с выпуском кумулятивного CPU от 12 июня 2012 года.
История переписки с Oracle и Apple показывает, насколько плохо организован в этих компаниях процесс исправления ошибок в Java. В некоторых случаях Apple и Oracle просто не могут решить, кто из них должен закрывать уязвимость. В других случаях Oracle объединяет несколько уязвимостей в один тикет для расследования, которое затягивается на несколько месяцев. Некоторые уязвимости могут даже теряться! То есть Oracle просто забывает о них, пока компания Security Explorations не укажет на путаницу.
В общем, к июньскому CPU компания Oracle сумела закрыть только 4 из 31 уязвимости, о которых ей сообщила Security Explorations в апреле этого года. В этом нет ничего удивительного: два месяца — очень маленький срок для такого объёма документооборота и менеджмента организационных процессов. Какой-нибудь стартап мог бы сделать эту работу за неделю, но когда за дело берётся огромная корпорация с тысячами менеджеров — процесс всегда растягивается на месяцы.
Интересно ещё, что с момента июньского патча прошло больше двух месяцев — и компания Oracle закрыла почти все уязвимости Security Explorations, осталось всего шесть штук. Несмотря на это, Oracle до сих пор не выпустила внеочередного обновления, а строго придерживается графика. По плану, обновление должно быть 16 октября. http://www.xakep.ru/post/59241/
Oracle выпустила срочные патчи для Java 6 и 7 Компания Oracle всё-таки выпустила внеочередной патч для 0-day уязвимости, которую в последние дни начали активно эксплуатировать несколько киберкриминальных групп.
Обновления для JDK и JRE 7 Update 6, JDK и JRE 6 Update 34 содержат патчи для четырёх уязвимостей Java, в том числе для пресловутой CVE-2012-4681. Компания Oracle подчёркивает: учитывая опасность этой угрозы, она настоятельно рекомендует всем пользователям установить данные патчи как можно скорее.
Уязвимости затрагивают только десктопные версии плагина Java, работающего через веб-браузер, они не касаются серверной версии или отдельных Java-приложений.
Таким образом, компания Oracle всё-таки приняла мудрое решение выпустить патчи, не дожидаясь планового октябрьского апдейта. Открытием стало то, что уязвимости затрагивают не только Java 7, но и Java 6. Точнее, из четырёх закрытых уязвимостей три относятся к Java 7, а одна — к Java 6 и 7. Впрочем, судя по опубликованной информации, закрытая уязвимость в Java 6 не допускает удалённого выполнения кода и не имеет максимального рейтинга по CVSS. Но тот факт, что её включили в общий пакет вместе с остальными, может говорить о том, что все четыре уязвимости связаны между собой.
Так или иначе, остаётся открытым вопрос, каким образом можно безопасно использовать плагин Java в браузере? Если рекомендации по его полному отключению уже вряд ли можно считать актуальными, то ограничения типа «запуск по клику» и ведение списка сайтов, для которых разрешено выполнение Java-апплетов, по-прежнему имеет смысл.
Хакер H.D.Moore, который недавно написал новый модуль для Java для фреймворка Metasploit, предупреждает, что Oracle закрыла очевидные дыры, а злоумышленники могут найти способ эксплуатировать тот же код иным способом, так что через некоторое время могут появиться другие эксплойты. Но даже если патч работает надёжно, говорит H.D.Moore, пройдут ещё месяцы, пока его установят у себя все пользователи. Ссылки на скачивание: Java 7 Update Java 6 Update http://www.xakep.ru/post/59247/
Подправил ссыль, но... Новая уязвимость в Java SE 7 Update 7 Не прошло и суток с момента, когда Oracle выпустила внеочередной апдейт Java 6 и 7 от 30 августа, как польская компания Security Explorations сообщила об обнаружении новой уязвимости. Один из специалистов Security Explorations говорит, что в сочетании с уже известными ранее уязвимостями новый баг даёт возможность написания эксплойта с полным выходом за пределы песочницы JVM и выполнения произвольного кода на компьютере жертвы.
Напомним, что именно польская компания Security Explorations обнаружила 31 уязвимость в Java, о которых сообщила Oracle в апреле 2012 года. Некоторые из них были закрыты в июньском плановом апдейте, ещё четыре — в недавнем внеочередном апдейте, однако больше половины уязвимостей не закрыты до сих пор.
В сообщении из списка рассылки Bugtraq сотрудник компании Security Explorations Адам Говдяк (Adam Gowdiak) пишет, что патч Oracle устраняет вектор атаки с использованием класса sun.awt.SunToolkit за счёт устранения методов getField и getMethod из этого класса, так что созданные ранее эксплойты для выхода из песочницы перестают работать. Однако, сейчас специалисты компании нашли новый способ, как осуществить выход и песочницы, используя незакрытые уязвимости. Код с демонстрацией эксплойта (Proof of Concept) отправлен в компанию Oracle.
Таким образом, воплощается в жизнь прогноз известного хакера H.D.Moore, который предсказывал появление новых эксплойтов для Java в ближайшее время, несмотря на выпуск патча. Судя по всему, рекомендация отключить плагин Java в браузерах скоро опять может стать актуальной. http://www.xakep.ru/post/59255/
Apple удалила Java-плагин из браузеров OS X Apple выпустила апдейт для OS X Lion и OS X Mountain Lion, который удаляет плагин Java со всех браузеров в OS X. После установки апдейта, если пользователь откроет в браузере сайт с Java-контентом, он увидит надпись "Missing plug-in" вместо содержимого Java-апплета.
Конечно, никто не запрещает пользователю установить официальный плагин напрямую с сайта Oracle, правда, только вместе с Oracle JRE. После этого на компьютере будет две JRE: последняя версия Java SE 6 от Apple и версия Java SE 7 от Oracle.
Раньше Apple уже сделала шаг к отказу от Java, когда прекратила установку плагина Java вместе с системой OS X. Теперь компания пошла дальше — и удалила его даже со старых операционных систем. Некоторые специалисты по безопасности рекомендуют сделать это и на других операционных системах.
В то же время Apple продолжает поддерживать и обновлять свою собственную версию Java SE, которая необходима для работы таких приложений, как CrashPlan, Minecraft и JungleDisk.
Отказ от Java объясняется появлением в последнее время большого количества эксплойтов и критических уязвимостей, которые исправляются вендором с большим опозданием. При этом компьютеры Macintosh подвергаются особенной угрозе, потому что уязвимости Java — это единственный реальный способ установить троян в систему OS X, а также потому что версия Java для Macintosh обновляется позже всех.
Эпидемия вируса Flashback, который эксплуатировал уязвимость в плагине Java, в апреле 2012 года привела к заражению около 550 тыс. компьютеров Macintosh, что нанесло непоправимый ущерб имиджу «яблочной компании». Apple даже пришлось изменить рекламу Mac OS на своём сайте, отказавшись от аргумента, что «для Macintosh нет вирусов». А ведь раньше это был один из главных козырей данной платформы. http://www.xakep.ru/post/59511/