01.03.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Для Java подготовлен эксплоит, стоимостью 5k$, базирующийся на новой 0day-уязвимости

Спустя всего несколько дней после выхода внепланового обновления Java SE 7 Update 11 с устранением активно эксплуатируемой в сети уязвимости, появилась информация о создании эксплоита, основанного на новой уязвимости. Эксплоит пока не доступен широкой публике и не интегрирован в типовые пакеты для распространения вредоносного ПО, но уже продаётся на одном из форумов по цене $5000 и его приобрели как минимум 2 покупателя. По предварительному анализу, проведённому представителями сообщества OpenJDK, в последнем выпуске Java SE 7 Update 11 устранён лишь частный случай уязвимости, но не исключено задействование других техник эксплуатации.

Напомним, что эксперты по компьютерной безопасности не раз выступали с критикой Oracle из-за затягивания исправления уязвимостей, информация о которых передаётся в Oracle в частном порядке, без публичного оглашения. С момента отправки уведомления до исправления уязвимости могут пройти многие месяцы, например, известно о наличии в Java неисправленных проблем безопасности, информация о которых была отправлена ещё в апреле 2012 года (рекордом является выпуск исправления уязвимости спустя два года после уведомления о её наличии).