The Great Gildersleeve: A Motor for Leroy's Bike / Katie Lee Visits / Bronco Wants to Build a Wall
Sommario:
I ricercatori di Security Explorations, una società di ricerca di vulnerabilità con sede in Polonia, sostengono di aver trovato due nuove vulnerabilità in Java 7 Update 11 che possono essere sfruttate per aggirare il software sandbox di sicurezza ed esecuzione di codice arbitrario sui computer.
Oracle ha rilasciato Java 7 Update 11 domenica scorsa come aggiornamento di sicurezza di emergenza per bloccare un exploit zero-day utilizzato dai criminali informatici per infettare i computer con malware.
Esplorazioni di sicurezza confermate con successo che con Java 7 Update 11 (JRE versione 1.7.0_11-b21) è possibile realizzare un bypass sandbox di sicurezza Java completo sfruttando due nuove vulnerabilità scoperte da i ricercatori dell'azienda, Adam Gowdiak, il fondatore dell'azienda, hanno detto venerdì in un messaggio inviato alla mailing list di Full Disclosure. Le vulnerabilità sono state segnalate a Oracle venerdì, insieme al codice di exploit di proof-of-concept funzionante, ha detto.
Secondo la politica di divulgazione di Security Explorations, i dettagli tecnici relativi alle vulnerabilità non saranno divulgati pubblicamente fino a quando il fornitore non rilascerà una patch.
vulnerabili Unrelated
I ricercatori dell'impresa di sicurezza Immunity che hanno analizzato l'exploit utilizzato dai criminali informatici dalla scorsa settimana hanno concluso che ha anche combinato due vulnerabilità per raggiungere una fuga sandbox Java. Tuttavia, in un post sul blog hanno detto che Java 7 Update 11 ha risolto solo uno di essi e ha avvertito che se gli autori di attacchi trovano un'altra vulnerabilità per sostituire quella con patch, è possibile creare un nuovo exploit.
Le vulnerabilità scoperte da Security Explorations sono separato da quello rimasto senza patch Oracle in Java 7 Update 11, Gowdiak ha detto venerdì via e-mail.
Alcuni ricercatori di sicurezza, inclusi quelli del Computer US Readiness Team (US-CERT), hanno continuato a consigliare agli utenti di disabilitare Java plug-in del browser nonostante il rilascio di Java 7 Update 11, in cui si lamenta che simili attacchi potrebbero verificarsi in futuro.
"C'è sicuramente qualcosa di preoccupante per quanto riguarda la qualità del codice Java SE 7", ha affermato Gowdiak. Ciò potrebbe suggerire la mancanza di un programma di sviluppo sicuro del ciclo di vita per Java o di altri problemi interni a Oracle, ha affermato.
Detto questo, il fatto che Java 7 Update 11 richieda la conferma degli utenti prima di consentire l'applet Java eseguito all'interno dei browser è sicuramente un passo nella giusta direzione e potrebbe bloccare molti attacchi, ha detto Gowdiak.
Patch di martedì risolve i buchi a zero giorni, ne esce un altro
Il ciclo di patch mensile di Microsoft chiude due difetti di sottomissione che coinvolgono ActiveX e File QuickTime e altri buchi di sicurezza.
Microsoft ha rilasciato sette nuovi bollettini sulla sicurezza per la prima patch martedì del 2013 - la più urgente è una patch per difetto in XML.
Happy Patch Tuesday! Microsoft sta dando il via all'anno con sette nuovi bollettini sulla sicurezza. Ci sono cinque classificati come importanti e due classificati come critici, ma uno in particolare che riguarda esperti di sicurezza.
Un altro difetto Java sfruttato, i ricercatori di sicurezza avvertono
Un nuovo exploit per una vulnerabilità Java precedentemente sconosciuta e priva di patch viene attivamente utilizzato dagli hacker per infettare i computer con malware, secondo i ricercatori della società di sicurezza FireEye.