Патч Oracle в Java содержит новые дыры, исследователи предупреждают

) Исследователи из Исследовательской компании Security Explorations, расположенной в Польше, обнаружили, что обнаружены две новые уязвимости в Java 7 Update 11, которые могут быть использованы для обхода программного обеспечения, изолировать программную среду безопасности и выполнить произвольный код на компьютерах.

Oracle выпустила обновление Java 7 Update 11 в прошлый воскресенье в качестве обновления для экстренной безопасности, чтобы заблокировать использование злоумышленником злоумышленника, используемого злоумышленниками, для заражения компьютеров вредоносными программами.

что полный переход безопасности изолированной программной среды Java может быть достигнут в рамках версии 7 7 для Java 7 (версия JRE 1.7.0_11-b21), используя две новые уязвимости, обнаруженные исследователи компании, Адам Гоудяк, основатель компании, заявили в пятницу в сообщении, отправленном в список рассылки Full Disclosure. Об этом сообщили в Oracle в пятницу вместе с действующим кодом эксплойта.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В соответствии с политикой раскрытия информации о безопасности, технические данные об уязвимостях не будут публично раскрываться до тех пор, пока поставщик не выпустит патч.

Несвязанные уязвимости

Исследователи из охранной фирмы Immunity, которые анализировали эксплойт, используемый киберпреступниками с прошлой недели, пришли к выводу, что он также объединяет две уязвимости для достижения выключение Java sandbox. Однако позже они сообщили в сообщении в блоге, что Java 7 Update 11 обратилась только к одному из них и предупредила, что если злоумышленники обнаружат другую уязвимость для замены исправленного, можно создать новый эксплойт.

Уязвимости, обнаруженные в Просмотрах безопасности, отдельно от того, который остался без доступа к Oracle в Java 7 Update 11, Гоудяк сказал в пятницу по электронной почте.

Некоторые исследователи безопасности, в том числе сотрудники американской команды готовности к компьютерной готовности (US-CERT), продолжали советовать пользователям отключать Java браузера, несмотря на выпуск Java 7 Update 11, ссылаясь на опасения, что подобные атаки могут произойти в будущем.

«Существует определенно что-то тревожное относительно качества кода Java SE 7», - сказал Гоудяк. Это может указывать на отсутствие надлежащей программы жизненного цикла Secure Development для Java или некоторых других проблем, которые являются внутренними для Oracle, сказал он.

Тем не менее, тот факт, что Java 7 Update 11 запрашивает подтверждение пользователей, прежде чем разрешить Java-апплеты выполненный внутри браузеров, безусловно, является шагом в правильном направлении и может блокировать многие атаки, сказал Гоудяк.