Oracle устранила серьезную уязвимость в Java для браузеров

Александр Панасенко 14 Января 2013 - 13:13

...

Компания Oracle выпустила обновление, закрывающее опасную уязвимость в программной платформе Java, говорится в сообщении на сайте Oracle. Оно вышло через три дня после того, как эксперты подразделения министерства национальной безопасности США по противодействию киберугрозам (US-CERT) призвали пользователей отключить надстройку Java для браузеров ввиду опасности обнаруженной бреши.

Уязвимость использовала реальная троянская программа Mal/JavaJar-B, включенная в состав хакерских пакетов Blackhol и NuclearPack. Она атаковала системы на базе ОС Windows и Linux.

Помимо уязвимости, о которой предупреждали специалисты US-CERT, обновление исправляет еще одну аналогичную ошибку в Java. Обе уязвимости позволяют злоумышленникам получить несанкционированный доступ к компьютеру, запустив на нем произвольный код. Согласно заявлению компании, обновление меняет сам способ взаимодействия с апплетами: «применяемый по умолчанию уровень безопасности увеличен со «среднего» до «высокого». Это означает, что теперь каждый раз при запуске неподписанного Java-приложения будет запрашиваться санкция пользователя, сообщает vedomosti.ru.

Применить обновление (версия Java 7 Update 11) можно, загрузив дистрибутив с сайта Oracle (java.com/ru/download/) или запустив процедуру обновления через панель управления Java.

Подвергнуться атаке могут компьютеры пользователей, посетивших с помощью браузера с включенной Java страницу, содержащую вредоносное приложение. Обеим ошибкам был присвоен наивысший рейтинг опасности (10 баллов) по шкале CVSS, используемой для оценки уязвимостей информационных систем. Максимальный балл эти уязвимости получили из-за простоты их эксплуатации злоумышленниками и тяжести последствий для атакуемых компьютеров.

«В связи с серьезностью этих уязвимостей публичным раскрытием их технических деталей и сообщениях об использовании уязвимости CVE-2013-0422 (идентификатор ошибки) в реальных условиях Oracle настойчиво рекомендует клиентам применить обновление как можно быстрее», — говорится в сообщении компании.

Как отмечается в сообщении Oracle, уязвимости имеются только в надстройке Java для браузеров: на платформу Java, выполняющую установленные на компьютер программы, а также версии для серверов ошибки не распространяются.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:22

Avanpost SSO Малый и средний бизнес Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аванпост

Avanpost представила E-Passport — цифровой паспорт для бесшовного SSO

Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.

Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.

Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.

В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).

В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.

Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.

«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »