10 января 2013

Новая уязвимость нулевого дня в браузерных плагинах Java

Информационная безопасностьJava
Похоже, месяц уязвимостей zeroday продолжается.

Очередная уязвимость в Java (CVE-2013-0422) уже включена в несколько эксплоит паков (BlackHole Exploit Kit, Cool Exploit Kit, Nuclear Pack). Вот что пишет создатель эксплоит пака BlackHole Exploit Kit:


Сообщается, что эта уязвимость очень похожа на обнаруженную в августе уязвимость в Java CVE-2012-4681. Атакующий может создать зловредную веб страницу и выполнить произвольный код на уязвимой системе. Работает на последней на текущий момент версии Java 1.7u10

Создатель Metasploit сообщил, что в ближайшее время в этот фреймворк будет включена описываемая уязвимость (уже выпустили, спасибо timukas). Напомнив, что уязвимость может работать независимо от ОС где установлена Java. Будь то Windows, Linux или MacOS.

Исходный код уязвимости в качестве исследовательских целей доступен здесь и при удачной работе запускает калькулятор на Windows-системах.

В качестве временной меры защиты рекомендуется отключить плагин Java в браузерах.
  1. Отключение плагина Java для веб-браузера Safari
  2. Отключение плагинов в Google Chrome
  3. Как правильно отключить среду исполнения Java в Opera for Windows
  4. Отключение плагинов в FireFox


UPD: видео демонстрация работы уязвимости:



UPD: Обновление 7u11 также не исправляет уязвимость
Теги:javaziro day0-day0dayvulnerableOracle
Хабы: Информационная безопасность Java
+49
21,9k 67
Комментарии 41
Похожие публикации
Java-разработчик
до 230 000 ₽Ренессанс ЖизньМоскваМожно удаленно
Java Developer
от 150 000 до 200 000 ₽RBS PaymentsМосква
Java Developer
от 85 000 ₽R-Style SoftlabСевастополь
Тренер JAVA
от 350 000 до 400 000 ₽ИЦ «Ай-Теко»Можно удаленно
Java Developer
от 120 000 до 200 000 ₽HighTeamНижний НовгородМожно удаленно
Лучшие публикации за сутки