Критическое обновление для Java SE


OracleКомпания Oracle представила крупнейшее в истории обновления с исправлением проблем безопасности в Java SE - Java SE 7 Update 13 и Java SE 6 Update 39.

Изначально, выпуск обновлений был запланирован на 19 февраля, однако был выпущен раньше срока, так как одна критическая уязвимость, исправленная в браузерном Java-плагине, имеет характер zero-day проблемы, для которой в сети уже зафиксированы факты эксплуатации. Все критические проблемы подвержены удаленной эксплуатации без необходимости аутентификации.

Всего компанией Oracle в Java SE было устранено 50 уязвимостей, из них:

  • 26 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

  • 23 критические уязвимости проявляются на стороне клиента при обработке в браузерном плагине специально оформленного Java Web Start приложения или Java-апплета, трем проблемам подвержены как клиентские, так и серверные системы (эксплуатация через обращение к серверному API).


Отдельно отмечаются 2 уязвимости в серверном компоненте JSSE (Java Secure Socket Extension). Из общего числа проблем 49 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 39 уязвимостей выявлено в Java Runtime Environment, а 11 в JavaFX. Из уязвимостей в JRE найдено

  • в 2D-подсистеме - 2 уязвимости;
  • в CORBA - 4;
  • в AWT - 4;
  • в Deployment Toolkit - 10;
  • в JMX - 3;
  • в библиотеках - 5;
  • в JSSE - 2;
  • в Java Beans - 1;
  • в системе скриптинга - 1;
  • в звуковой подсистеме - 1;
  • в инсталляторе - 1;
  • в JAX-WS - 1;
  • в JAXP - 1;
  • в RMI - 1;
  • в сетевой подсистеме - 1.


В Oracle отмечают, что опасность эксплуатации проблем безопасности снижена благодаря изменению предлагаемого по умолчанию уровня безопасности  начиная с Java SE 7 Update 11. Если ранее при выполнении апплетов использовался средний уровень безопасности, то теперь задействован наивысший уровень, включающий дополнительные проверки и требующий обязательного ручного подтверждения запуска в браузере неподписанных апплетов, приложений Java Web Start или JavaFX. Однако, известный польский исследователь безопасности Адам Говдяк (Adam Gowdiak), недавно заявил, что уровни безопасности можно обойти, и они эффективны только в теории.

На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя.


Обновлено (04.02.2013 18:58)