Hlavní navigace

Java 7 update 11 je nejspíše stále děravá

Marek Janouš 17. 1. 2013

I Java 7 update 11 je nejspíše zranitelná — „0day“ zranitelnost už patrně kdesi koluje a prodává se, jen zatím omezeně — aby se její využitelnost po nějaký čas udržela.

Méně než 24 hodin poté, co Oracle vydal update 11 pro Javu 7, objevil Brian Krebs na jednom kriminálním fóru nabídku na prodej nového „0day“ útoku proti Javě. Zajímavé bylo, že dotyčný nabízel, že ji prodá pouze dvěma zájemcům, a to za poměrně „lidovou“ cenu po pěti tisících dolarů. Nabídka už mezitím z fóra zmizela.

Brian Krebs přiznává, že nemůže prokázat, že nový útok existuje, ale podle okolností — kde a kým byla nabídka učiněna — odhaduje, že byla pravá. Otázkou zůstává, proč byla tak zalevno. Možná jde o útok okrajový, hůře využitelný; možná cenu stlačilo to, že kdo může, ten Javu nyní ve svém prohlížeči zakázal.

Podstatné je, že Java 7 patrně zůstává zranitelná a že na to žádná záplata není, a pravděpodobně existující útok se dříve nebo později beztak rozšíří. Již před několika dny jsme upozornili, že Java 7 podle odborníků obsahuje další zranitelnosti.

Brian Krebs soudí, že Oracle jako firma není připraven na to, že se převzetím Javy (v rámci koupě Sun) dostal do situace, že jeho software je provozován na stovkách milionů PC koncových uživatelů.

Gabor Szappanos, výzkumník pro SophosLabs, nedávno zkoumal příčiny, proč BlackHole Exploit Kit uspíval zdaleka nejčastěji především skrze Javu. Dospěl k vysvětlení, že uživatelé — přinejmenším před současnou mediální kampaní za zamezování Javy, pokud ji nepotřebujete — nepovažovali Javu za hrozbu a nevěnovali odpovídající pozornost tomu, zda mají alespoň nejnovější verzi, když už Javu mají v prohlížeči.

Našli jste v článku chybu?

17. 1. 2013 13:22

tdvorak (neregistrovaný)

Přitom je java velmi slušně zpětně kompatibilní.

17. 1. 2013 13:20

je zaroven ten problem, ze dost klientu vyzaduje konkretni verzi. To pak aktualizace mirne receno komplikuje :-/

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?