4. Введение в Java. Generics. Wildcards | Технострим
Cuprins:
Cercetătorii de la Explorările de securitate, o firmă de cercetare a vulnerabilității din Polonia, susțin că au găsit două noi vulnerabilități în Java 7 Update 11 care pot fi exploatate pentru a ocoli software- de securitate și execută cod arbitrar pe computere
Oracle a lansat Java 7 Update 11 ultima duminică ca o actualizare de securitate de urgență pentru a bloca exploatarea zilnică de zi cu zi utilizată de infractorii cibernetici pentru a infecta calculatoarele cu programe malware
Explorările de securitate confirmate cu succes că o versiune completă a bypass-ului pentru securitatea Java poate fi încă atinsă în cadrul Java 7 Update 11 (JRE versiunea 1.7.0_11-b21) prin exploatarea a două noi vulnerabilități descoperite de cercetătorii companiei, Adam Gowdiak, fondatorul companiei, au declarat vineri într-un mesaj trimis la lista de discuții complete Disclosure. Vulnerabilitățile au fost raportate vineri organizației Oracle, împreună cu codul de exploatare a dovezilor de lucru, a spus el.
vulnerabiliți independenți
Cercetătorii de la firma de securitate Immunity care au analizat exploatarea utilizată de infractorii cibernetici de săptămâna trecută au concluzionat că a combinat două vulnerabilități o evadare cu nisip Java. Cu toate acestea, ei au spus ulterior într-un post blog că Java 7 Update 11 se adresează numai uneia dintre ele și a avertizat că dacă atacatorii găsesc o altă vulnerabilitate pentru a înlocui patch-ul, poate fi creat un nou exploit.
Vulnerabilitățile descoperite de Explorările de securitate sunt separat de cel rămas nefolosit de Oracle în Java 7 Update 11, Gowdiak a declarat vineri prin e-mail.
Unii cercetători în domeniul securității, inclusiv cei de la US Computer Curea de Urgență (US-CERT), au continuat să sfătuiască utilizatorii să dezactiveze Java browser-ul plug-in în ciuda lansării Java 7 Update 11, citând îngrijorarea că atacurile similare ar putea apărea în viitor.
"Există cu siguranță ceva îngrijorător în ceea ce privește calitatea codului Java SE 7", a spus Gowdiak. Acest lucru ar putea sugera lipsa unui program corespunzător de dezvoltare a Securității de Dezvoltare pentru Java sau alte probleme care sunt interne ale Oracle, a spus el.
Acestea fiind spuse, faptul că Java 7 Update 11 solicită confirmarea utilizatorilor înainte de a permite apleturilor Java să fie executate în browsere este cu siguranță un pas în direcția cea bună și ar putea bloca multe atacuri, a spus Gowdiak
Patch Tuesday fixează găuri serioase Zero-zi, Fișierele QuickTime și alte găuri de securitate.
Microsoft a stabilit astăzi un defect serios, sub atac într-un control ActiveX video, împreună cu alte defecte critice care implică fișiere și fonturi QuickTime. Dar o gaură critică de zero zile într-un alt control ActiveX rămâne neschimbată.
Dell aparent avertizează clienții că "un număr mic" din plăcile de bază ale serverelor PowerEdge R410 poate conține programe rău intenționate.
"Problema potențială implică un număr mic de placi de bază PowerEdge trimise prin intermediul serviciilor de expediere care pot conține programe malware" conform postului pe un forum de suport Dell. "Acest cod malware a fost detectat pe firmware-ul integrat de administrare a serverului."
Un alt defect Java exploatat, cercetătorii de securitate avertizează
Un nou exploit pentru o vulnerabilitate Java necunoscută și nedepusă este utilizată activ de atacatori pentru a infecta computerele malware, potrivit cercetatorilor firmei de securitate FireEye