Опубликован эксплоит, поражающий неисправленную уязвимость в Java 7

Новый 0-day эксплойт Java используется для таргетированных атак


Похоже, пользователям на всех платформах (Mac, Windows, Linux) лучше отключить виртуальную машину Java на своих компьютерах и деактивировать Java-плагин в браузере, пока Oracle не выпустит патч для обнаруженной http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html]уязвимости в Java JRE version 7[/COLOR].

Дело в том, что для этой уязвимости уже существует готовый эксплойт, который сегодня-завтра начнёт активно применяться злоумышленниками: уже зафиксированы первые случаи атак. Вчера разработчики Rapid7 сообщили, что готовят к выпуску соответствующий модуль Metasploit. Они уже протестировали его на полностью пропатченной Windows 7 SP1 с Java 7 Update 6. Есть информация, что в ближайшее время новый эксплойт добавят в популярный набор Blackhole, и тогда с опасностью вплотную столкнутся миллионы обычных пользователей интернета. По предварительной информации, эксплойт работает во всех браузерах.

Известный независимый исследователь в сфере ИТ-безопасности Брайан Кребс поговорил с разработчиками Blackhole — они сообщили, что стоимость подобной Java-уязвимости на чёрном рынке составляет до $100 000, если готовый эксплойт продают для эксклюзивного использования. В данном случае его использовали для таргетированной атаки с целью шпионажа авторы вредоносной программы Poison Ivy, которая попала в руки исследователей из антивирусных компаний. До настоящего момента им удавалось держать информацию в секрете — но вчера в открытом доступе опубликован Proof-of-Concept, и теперь ничто не мешает злоумышленникам использовать эксплойт в своих целях, защиты против него не существует.

Oracle выпускает патчи раз в 4 месяца, и следующий выпуск запланирован на 16 октября, почти через два месяца. Oracle очень редко выпускает внеплановые патчи, но для такой уязвимости всё-таки может сделать исключение. Всем известно, насколько большой вред могут нанести Java-экслойты, в связи с широкой популярность Java-машины на всех платформах.

Скрипт Nmap для поиска клиентов Poison Ivy

28.08.2012
http://www.xakep.ru/post/59224/​

 

Эксплоит к уязвимости 0-дня в Java может стоить 100 000 долларов

Эксплоит к уязвимости 0-дня в Java может стоить 100 000 долларов


Модуль эксплоита уже появился в Metasploit и, возможно, в BlackHole.

На протяжении последних нескольких дней в интернете активно обговаривается уязвимость нулевого дня в среде Oracle Java, которая активно эксплуатируется при проведении целевых атак. Первыми об уязвимости сообщили эксперты FireEye , которые рассказали о том, по какому адресу находятся серверы, используемые эксплоитом.

В своем уведомлении эксперт FireEye Атиф Муштак (Atif Mushtaq) отметил, что в скором времени эксплоит к уязвимости в Java станет широко доступным, и злоумышленники смогут очень активно его использовать. Всего в течение суток компания Rapid 7 представила модуль эксплоита для платформы Metasploit . Этот модуль эксплуатирует уязвимость в JRE для последних версий браузеров Mozilla Firefox, Internet Explorer, а также Safari на платформах Linux, Windows и Macintosh.

По словам аналитика по вопросам информационной безопасности Браяна Кребса (Brian Krebs), в ближайшее время эксплоит к уязвимости CVE-2012-4681 станет доступным в наборе инструментов для взлома BlackHole. Цитируя одного из руководителей BlackHole, Кребс написал, что цена подобного эксплоита может составить порядка 100 000 долларов.

От компании Oracle на момент публикации новости никаких комментариев по поводу устранения данной уязвимости не поступало. Пока компания не отреагирует (а очередной плановый выпуск обновлений для Java произойдет не раньше октября), пользователям приходится самим находить метод защиты от компрометации системы.

Эксперты по ИБ дают разнообразные рекомендации по тому, как можно защитить себя от этой уязвимости. Самым надежным и радикальным методом является полное удаление Java с системы, инструкция по которому опубликована на сайте производителя. Также можно оставить работающую версию Java на одном из браузеров, и использовать ее для отдельных доверенных сайтов.

Некоторые эксперты также рекомендуют откатить Java до более ранней версии, либо установить решение от стороннего производителя, но оба метода несут в себе собственные угрозы, и при этом не могут гарантировать решение проблемы.

2012-08-29
http://www.comss.info/page.php?al=eksploit_k_uyazvimosti​

 

Oracle знала о дыре в Java с апреля этого года

Oracle знала о дыре в Java с апреля этого года


История с критической уязвимостью Java грозит обернуться скандалом, весьма неприятным для Oracle. Сейчас выяснилось, что Oracle знала об уязвимости ещё с апреля 2012 года, но не успела её закрыть в июньском патче. Проблема Oracle в том, что компания строго придерживается четырёхмесячного графика выпуска патчей (февраль-июнь-октябрь), а уязвимостей накопилось слишком много.

Польская хакерская компания Security Explorations опубликовала список уязвимостей, которые она обнаружила и отправила в компании Oracle и Apple, начиная с апреля. В частности, со 2 по 27 апреля 2012 года в Oracle была отправлена 31 уязвимость и фрагменты кода proof-of-concept с демонстрацией возможных эксплойтов. На странице Security Explorations подробно расписано, когда приходил ответ от Oracle по каждой уязвимости, когда этим уязвимостям присваивались номера слежения во внутренней системе тикетов и — как результат — когда уязвимости были закрыты, с выпуском кумулятивного CPU от 12 июня 2012 года.

История переписки с Oracle и Apple показывает, насколько плохо организован в этих компаниях процесс исправления ошибок в Java. В некоторых случаях Apple и Oracle просто не могут решить, кто из них должен закрывать уязвимость. В других случаях Oracle объединяет несколько уязвимостей в один тикет для расследования, которое затягивается на несколько месяцев. Некоторые уязвимости могут даже теряться! То есть Oracle просто забывает о них, пока компания Security Explorations не укажет на путаницу.

В общем, к июньскому CPU компания Oracle сумела закрыть только 4 из 31 уязвимости, о которых ей сообщила Security Explorations в апреле этого года. В этом нет ничего удивительного: два месяца — очень маленький срок для такого объёма документооборота и менеджмента организационных процессов. Какой-нибудь стартап мог бы сделать эту работу за неделю, но когда за дело берётся огромная корпорация с тысячами менеджеров — процесс всегда растягивается на месяцы.

Интересно ещё, что с момента июньского патча прошло больше двух месяцев — и компания Oracle закрыла почти все уязвимости Security Explorations, осталось всего шесть штук. Несмотря на это, Oracle до сих пор не выпустила внеочередного обновления, а строго придерживается графика. По плану, обновление должно быть 16 октября.

Специалисты всё-таки выражают надежду, что уязвимости из нынешнего эксплойта уже закрыты, в этом случае ничто не мешает Oracle выпустить внеочередной CPU.

30.08.2012
http://www.xakep.ru/post/59241/​