Java продолжает оставаться любимым средством хакеров для взлома компьютеров, несмотря на усилия Oracle. В отчёте компании Bit9 говорится, что многие компании продолжают использовать старые версии Java-машин. Это связано в первую очередь с тем, что при установке апдейтов старые версии автоматически не удаляются: в большинстве компаний исследователи насчитали более 50 различных версий Java, а в 5% — более 100. Кроме того, 82% компаний по-прежнему используют 6-ю версию Java, для которой известно наибольшее число уязвимостей.
Bit9 считает, что системным администраторам важно понимать разницу между апдейтом и апгрейдом, а также рекомендует компаниям проводить аудит установленного у них программного обеспечения и избавляться от старых версий Java, оставшихся от апдейтов.
Любопытно, что в это же время польский исследователь безопасности Адам Говдяк (Adam Gowdiak) из компании Security Explorations обнаружил, что последняя версия Java 7 открыта для атаки на уязвимость десятилетней давности. Вот как он прокомментировал свою находку: «Мы обнаружили очередной признак того, что новый Reflection API, представленный в Java SE 7, не был нормально изучен на предмет безопасности, возможно, его вообще не рассматривали с точки зрения безопасности».
Код proof of concept, использующий уязвимость, работал с наиболее свежей версией от Oracle (Java SE 7 Update 25). Уязвимость позволяет обойти ограничения sandbox, в том числе через Java Web Start.
Перемещено Aceler из java
