Обнаружена опасная уязвимость в Java 7

Представители польской компании Security Explorations заявили об обнаружении новой уязвимости в Java 7, которая позволяет хакеру обойти песочницу программного обеспечения и выполнить произвольный код на системе.

Для подтверждения наличия бреши Адам Гоудиак (Adam Gowdiak), генеральный директор и основатель Security Explorations, отправил уведомление с PoC-кодом уязвимости в Oracle. По словам исследователя, уязвимость присутствует в Reflection API – функции в Java 7. В Security Explorations подтвердили, что PoC-код эксплоита работает для Java SE 7 Update 25 и более ранних версий.

Обнаруженная уязвимость может позволить хакерам осуществить «классическую» атаку для поражения виртуальной машины Java, которая известна уже на протяжении 10 лет. Уязвимость позволяет нарушить фундаментальные функции безопасности виртуальной машины Java. «В результате атаки мошенник может вносить изменения в операции преобразования типа», — заявил Гоудиак. В Java операции подобного типа должны следовать строгим правилам для того, чтобы доступ к памяти осуществлялся безопасно.

Гоудиак раскритиковал Oracle за присутствие бреши в Java 7 и поднял вопрос об эффективности ПО компании, которое отвечает за обеспечение безопасности, и процедур проверки безопасности кода.