Car-tech

La patch Java di Oracle contiene nuovi buchi, i ricercatori avvertono

The Great Gildersleeve: A Motor for Leroy's Bike / Katie Lee Visits / Bronco Wants to Build a Wall

The Great Gildersleeve: A Motor for Leroy's Bike / Katie Lee Visits / Bronco Wants to Build a Wall

Sommario:

Anonim

I ricercatori di Security Explorations, una società di ricerca di vulnerabilità con sede in Polonia, sostengono di aver trovato due nuove vulnerabilità in Java 7 Update 11 che possono essere sfruttate per aggirare il software sandbox di sicurezza ed esecuzione di codice arbitrario sui computer.

Oracle ha rilasciato Java 7 Update 11 domenica scorsa come aggiornamento di sicurezza di emergenza per bloccare un exploit zero-day utilizzato dai criminali informatici per infettare i computer con malware.

Esplorazioni di sicurezza confermate con successo che con Java 7 Update 11 (JRE versione 1.7.0_11-b21) è possibile realizzare un bypass sandbox di sicurezza Java completo sfruttando due nuove vulnerabilità scoperte da i ricercatori dell'azienda, Adam Gowdiak, il fondatore dell'azienda, hanno detto venerdì in un messaggio inviato alla mailing list di Full Disclosure. Le vulnerabilità sono state segnalate a Oracle venerdì, insieme al codice di exploit di proof-of-concept funzionante, ha detto.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Secondo la politica di divulgazione di Security Explorations, i dettagli tecnici relativi alle vulnerabilità non saranno divulgati pubblicamente fino a quando il fornitore non rilascerà una patch.

vulnerabili Unrelated

I ricercatori dell'impresa di sicurezza Immunity che hanno analizzato l'exploit utilizzato dai criminali informatici dalla scorsa settimana hanno concluso che ha anche combinato due vulnerabilità per raggiungere una fuga sandbox Java. Tuttavia, in un post sul blog hanno detto che Java 7 Update 11 ha risolto solo uno di essi e ha avvertito che se gli autori di attacchi trovano un'altra vulnerabilità per sostituire quella con patch, è possibile creare un nuovo exploit.

Le vulnerabilità scoperte da Security Explorations sono separato da quello rimasto senza patch Oracle in Java 7 Update 11, Gowdiak ha detto venerdì via e-mail.

Alcuni ricercatori di sicurezza, inclusi quelli del Computer US Readiness Team (US-CERT), hanno continuato a consigliare agli utenti di disabilitare Java plug-in del browser nonostante il rilascio di Java 7 Update 11, in cui si lamenta che simili attacchi potrebbero verificarsi in futuro.

"C'è sicuramente qualcosa di preoccupante per quanto riguarda la qualità del codice Java SE 7", ha affermato Gowdiak. Ciò potrebbe suggerire la mancanza di un programma di sviluppo sicuro del ciclo di vita per Java o di altri problemi interni a Oracle, ha affermato.

Detto questo, il fatto che Java 7 Update 11 richieda la conferma degli utenti prima di consentire l'applet Java eseguito all'interno dei browser è sicuramente un passo nella giusta direzione e potrebbe bloccare molti attacchi, ha detto Gowdiak.