24.02.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Найден способ обхода ограничений запуска неподписанных апплетов в Java SE 7

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, сообщил, что активированный по умолчанию в Java SE 7 Update 11 повышенный уровень безопасности, позиционируемый Oracle как панацея от незаметной активации вредоносного кода, на деле бесполезен. Напомним, что в Java SE 7 Update 10 была добавлена поддержка четырёх уровней безопасности, определяющих особенности запуска апплетов, приложений Java Web Start или JavaFX, не содержащих цифровой подписи. В Java SE 7 Update 11 был по умолчанию активирован уровень, требующий обязательного ручного подтверждения перед запуском любого неподписанного апплета. Т.е. при наличии паразитного кода на странице, пользователю теперь должно выводиться предупреждение.

Проведённое Адамом исследование показало, что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя. По мнению Адама наиболее эффективным способом защиты от выполнения подобных скрытых апплетов является использование предоставляемой некоторыми браузерами функции «Click to Play», включающей плагин только после клика на области связанного с ним контента.