28 August 2012

Новый 0day эксплоит для Java. Теперь и в Metasploit

Information SecurityJava
Как следует из официального блога Metasploit, последний апдейт данного продукта имеет в своём арсенале эксплоит под уязвимость нулевого дня (0day) для Java run-time environments (JRE).

Эксплоит кросплатформенный и был успешно протестирован на следующих платформах:

  • Windows 7 SP1 с установленной Java 7 Update 6
  • Mozilla Firefox под Ubuntu Linux 10.04
  • Internet Explorer / Mozilla Firefox / Chrome on Windows XP
  • Internet Explorer / Mozilla Firefox on Windows Vista
  • Internet Explorer / Mozilla Firefox on Windows 7
  • Safar под OS X 10.7.4


UPD_2
Как сообщается, уязвимости подвержены следующие продукты:

JDK и JRE 7 Update 6 и более ранние
JDK и JRE 6 Update 34 и более ранние
end of UPD_2

Как можно догадаться, раз это 0day, то на настоящий момент патча не существуетОбновление Java 7 update 7 устраняет уязвимость (спасибо Gregy за наводку). Уязвимости также пока что не присвоен номер CVE. Уязвимости присвоен CVE-2012-4681


Первое использование этого эксплоита впервые было задетектировано на сайте ok.aa24.net

От туда был получен код эксплоита. Эксплоит использует архитектурную уязвимость и, по идее, срабатывает как на 32 так и 64-битных системах.

Компания FireEye провела небольшое исследование эксплоита, обнаруженного на уже упомянутом выше сайте.

В качестве временной меры защиты представители Metasploit предлагают полностью удалить Java из системы (неточность перевода. Спасибо tulskiy за наводку). Отключить плагин.
  1. Отключение плагина Java для веб-браузера Safari
  2. Отключение плагинов в Google Chrome
  3. Как правильно отключить среду исполнения Java в Opera for Windows
  4. Отключение плагинов в FireFox


Если Вы не знаете точно имеется ли в Вашей системе Java, можете выяснить это используя этот сервис

US-CERT рекомендует пользователям Firefox установить расширение NoScript в настройках которого ограничить список сайтов, на которых запускать java-код.

В этом году подобные уязвимости в Java находят уже не в первый раз. До этого было:
  1. CVE-2012-0507 (эту уязвимость использовал нашумевший троянец Carberp)
  2. CVE-2012-1723


UPD
Ссылки по теме:
  1. VulnDisco SA CANVAS exploit pack has a new Java 0-day. It has been tested on Windows 7 with IE, Opera and Firefox.VulnDisco выпустила exploit pack с данным эксплоитом для Immunity CANVAS 10 августа
  2. New Java 0day exploited in the wild — более подробный разбор эксплоита, установленного на упомянутом ранее сайте
  3. Vulnerability Note VU#636312 — описание уязвимости и рекомендации от US-CERT
  4. Oracle Java 0day and the Myth of a Targeted Attack — ещё один аналитический разбор экспоита, установленного на упомянутом ранее сайте (спасибо timukas за линк)
  5. Java 7 0-Day vulnerability information and mitigation. — ещё один аналитический отчёт касаемо эксплоита, установленного на упомянутом ранее сайте.
Tags:javaziro day0-day0dayvulnerableOracleVU#636312CVE-2012-4681
Hubs: Information Security Java
+43
8.3k 51
Comments 63