Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет
15 март 2016 11:41 #35000
от ICT
ICT создал тему: Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет
Неэффективный патч Выпущенный в 2013 г. корпорацией Oracle патч для Java, предназначенный для устранения в критической уязвимости, был неэффективен. Об этом сообщили исследователи польской компании Security Explorations, которые еще в 2012 г. и обнаружили эту уязвимость. Она была маркирована как CVE-2013-5838. Компания Oracle присвоила найденной уязвимости высокую оценку опасности: 9,3 балла из 10 возможных, так как она позволяла злоумышленнику дистанционно скомпрометировать систему.
Миллионы пользователей с «дырой» на ПК По словам исследователей, Oracle недостаточно хорошо изучила проблему, и поэтому более двух лет персональные компьютеры оставались уязвимы. Речь идет о миллионах пользователей, подчеркивает Ars Technica. Четыре символа в коде Для того чтобы возобновить работоспособность эксплойта после внесенных Oracle изменений, достаточно исправить четыре символа в коде экслойта, рассказал генеральный директор Security Explorations Адам Говдяк (Adam Gowdiak). http://filearchive.cnews.ru/img/cnews/2016/03/15/oracle500.jpg"> [b]Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет[/b] Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108. [b]Неправильная оценка уязвимости[/b] Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java. [b]Как себя обезопасить[/b] Правда, в большинстве случаев защитить клиентские системы достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте. [b]Самостоятельность Oracle[/b] В августе 2015 г. директор Oracle по безопасности [b]Мэри Энн Девидсон[/b] (Mary Ann Davidson) [url=http://www.cnews.ru/news/top/2016-03-15_izza_halatnosti_oracle_milliony_pk_ostavalis] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/cnews/2016/03/15/oracle500.jpg">
Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108. Неправильная оценка уязвимости Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java. Как себя обезопасить Правда, в большинстве случаев защитить клиентские системы достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте.
Самостоятельность Oracle
В августе 2015 г. директор Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) Ссылка на источник
Миллионы пользователей с «дырой» на ПК По словам исследователей, Oracle недостаточно хорошо изучила проблему, и поэтому более двух лет персональные компьютеры оставались уязвимы. Речь идет о миллионах пользователей, подчеркивает Ars Technica. Четыре символа в коде Для того чтобы возобновить работоспособность эксплойта после внесенных Oracle изменений, достаточно исправить четыре символа в коде экслойта, рассказал генеральный директор Security Explorations Адам Говдяк (Adam Gowdiak). http://filearchive.cnews.ru/img/cnews/2016/03/15/oracle500.jpg"> [b]Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет[/b] Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108. [b]Неправильная оценка уязвимости[/b] Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java. [b]Как себя обезопасить[/b] Правда, в большинстве случаев защитить клиентские системы достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте. [b]Самостоятельность Oracle[/b] В августе 2015 г. директор Oracle по безопасности [b]Мэри Энн Девидсон[/b] (Mary Ann Davidson) [url=http://www.cnews.ru/news/top/2016-03-15_izza_halatnosti_oracle_milliony_pk_ostavalis] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/cnews/2016/03/15/oracle500.jpg">
Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108. Неправильная оценка уязвимости Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java. Как себя обезопасить Правда, в большинстве случаев защитить клиентские системы достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте.
Самостоятельность Oracle
В августе 2015 г. директор Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.