Последний апдейт Java и оставшиеся уязвимости


OracleВчера компания Oracle выпустила очередной пакет обновлений Java SE 7 Update 21, закрыв несколько критических уязвимостей. Польские хакеры из компании Security Explorations, нашедшие уже около 60 уязвимостей в Java SE за последний год, высказали свое мнение по поводу последнего обновления.

И вот что выяснилось. Последнее выпущенное обновление исправляет баги, о которых Security Explorations сообщила Oracle еще в прошлом и этом году. По классификации из переписки Security Explorations с Oracle, уязвимости классифицированы как Issues 51, 55, 57, 58, 59, 60.

Эксплуатации этих уязвимостей с концептуальными примерами эксплойтов

При этом компания Oracle не посчитала уязвимостью баг, описанный в Issue 54, который можно использовать вместе с Issue 55 для полного обхода песочницы Java.

Security Explorations огласила новую информацию по Issue 56, т.к. за шесть недель не получила никакого ответа от Oracle по поводу этого бага, хотя его простота никак не соответствует длительности ответа.

Данный баг заключается в том, что такой нехитрый код нарушает структурные ограничения.

  • .method public <init>()V
    .limit stack 2
    .limit locals 2
    l1:
    goto l1
    return
    .end method

Обновлено (17.04.2013 15:17)