Выявлено 22 уязвимости в Oracle JVM


OracleЭксперты по безопасности из компании Security Explorations обнаружить в Oracle JVM 22 уязвимости. На их обнаружение специалисты потратили около четырех месяцев.

После уведомления Oracle, в компании подтвердили наличие только шести уязвимостей. Там подчеркнули, что бреши уже исправлены, а обновления станут доступны в рамках предстоящего апдейта Critical Patch Update. Оставшиеся шесть уязвимостей пока изучают, а затем и исправят. Выявленные бреши позволяет злоумышленникам повысить привилегии на системе жертвы, а также выполнить произвольный Java-код на уязвимых серверах Oracle Database.

Это может открыть доступ к важному программному обеспечению. Правда, в Oracle отмечают защищенность ПО, взлом которого якобы не осуществлялся уже несколько десятилетий.

Уязвимости существуют из-за брешей в Java Reflection API, обусловивших ряд инцидентов безопасности в Java SE в 2012-2013 годах.

Уже прошло около двух лет с момента, как стало известно о брешах в Java Reflection API. Однако некоторые последствия этих проблем все еще присутствуют в продуктах Oracle, и не только в Java SE.

Уязвимыми являются:

  • Oracle Database 11g релиз 2 (11.2.0.1.0) для Microsoft Windows x64;
  • Oracle Database 11g релиз 2 (11.2.0.4.5) Patch Bundle 18590877 для Microsoft Windows x64;
  • Oracle Database 12c релиз 1 (12.1.0.1.0) для Microsoft Windows x64;
  • Oracle Database 12c релиз 1 (12.1.0.1.9) Bundle Patch 18724015 для Microsoft Windows x64.

Обновлено (26.06.2014 14:25)