Java 7 update 11 je nejspíše stále děravá

I Java 7 update 11 je nejspíše zranitelná — „0day“ zranitelnost už patrně kdesi koluje a prodává se, jen zatím omezeně — aby se její využitelnost po nějaký čas udržela.

Méně než 24 hodin poté, co Oracle vydal update 11 pro Javu 7, objevil Brian Krebs na jednom kriminálním fóru nabídku na prodej nového „0day“ útoku proti Javě. Zajímavé bylo, že dotyčný nabízel, že ji prodá pouze dvěma zájemcům, a to za poměrně „lidovou“ cenu po pěti tisících dolarů. Nabídka už mezitím z fóra zmizela.

Brian Krebs přiznává, že nemůže prokázat, že nový útok existuje, ale podle okolností — kde a kým byla nabídka učiněna — odhaduje, že byla pravá. Otázkou zůstává, proč byla tak zalevno. Možná jde o útok okrajový, hůře využitelný; možná cenu stlačilo to, že kdo může, ten Javu nyní ve svém prohlížeči zakázal.

Podstatné je, že Java 7 patrně zůstává zranitelná a že na to žádná záplata není, a pravděpodobně existující útok se dříve nebo později beztak rozšíří. Již před několika dny jsme upozornili, že Java 7 podle odborníků obsahuje další zranitelnosti.

MIF16

Brian Krebs soudí, že Oracle jako firma není připraven na to, že se převzetím Javy (v rámci koupě Sun) dostal do situace, že jeho software je provozován na stovkách milionů PC koncových uživatelů.

Gabor Szappanos, výzkumník pro SophosLabs, nedávno zkoumal příčiny, proč BlackHole Exploit Kit uspíval zdaleka nejčastěji především skrze Javu. Dospěl k vysvětlení, že uživatelé — přinejmenším před současnou mediální kampaní za zamezování Javy, pokud ji nepotřebujete — nepovažovali Javu za hrozbu a nevěnovali odpovídající pozornost tomu, zda mají alespoň nejnovější verzi, když už Javu mají v prohlížeči.

8 názorů Vstoupit do diskuse
poslední názor přidán 17. 1. 2013 22:38

Školení SEO - jak na optimalizaci pro vyhledávače

  •  
    Analýza klíčových slov - jaká slova vybrat.
  • Metody linkbuildingu - jak získat zpětné odkazy.
  • Vyhodnocování SEO - nesledujte jen pozice.

Detailní informace o školení SEO »