Критическое обновление Java SE устраняет 50 уязвимостей

Александр Панасенко 04 Февраля 2013 - 12:16

...

Компания Oracle представила крупнейшее в истории обновления с исправлением проблем безопасности в Java SE - Java SE 7 Update 13 и Java SE 6 Update 39, в которых устранено 50 уязвимостей, 26 из которым присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

Изначально, выпуск обновлений был запланирован на 19 февраля, но был выпущен раньше срока, так как одна критическая уязвимость, исправленная в браузерном Java-плагине, имеет характер zero-day проблемы, для которой в сети уже зафиксированы факты эксплуатации. Все критические проблемы подвержены удалённой эксплуатации без необходимости аутентификации. 23 критические уязвимости проявляются на стороне клиента при обработке в браузерном плагине специально оформленного Java Web Start приложения или Java-апплета, трём проблемам подвержены как клиентские, так и серверные системы (эксплуатация через обращение к серверному API), передает uinc.ru.

Отдельно отмечаются 2 уязвимости в серверном компоненте JSSE (Java Secure Socket Extension). Из общего числа проблем 49 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 39 уязвимостей выявлено в Java Runtime Environment, а 11 в JavaFX. Из уязвимостей в JRE две проблемы найдены в 2D-подсистеме, 4 в CORBA, 4 в AWT, 10 в Deployment Toolkit, 3 в JMX, 5 в библиотеках, 2 в JSSE, 1 в Java Beans, 1 в системе скриптинга, 1 в звуковой подсистеме, 1 в инсталляторе, 1 в JAX-WS, 1 в JAXP, 1 в RMI, 1 в сетевой подсистеме.

В анонсе Oracle отмечается, что опасность эксплуатации проблем безопасности снижена благодаря тому, что начиная с Java SE 7 Update 11 был изменён предлагаемый по умолчанию уровень безопасности. Если ранее при выполнении апплетов использовался средний уровень безопасности, то теперь задействован наивысший уровень, включающий дополнительные проверки и требующий обязательного ручного подтверждения запуска в браузере неподписанных апплетов, приложений Java Web Start или JavaFX. Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, недавно заявил, что уровни безопасности можно обойти и они эффективны только в теории.

На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 08:52

Уязвимости программ Ошибки конфигурации программ GenAI (генеративный искусственный интеллект) Общее

Нейросети научились ломать без кода, теперь их просто газлайтят

Пока одни спорят, заменит ли ИИ программистов, другие уже вовсю учатся манипулировать нейросетями как людьми. Исследователи и джейлбрейкеры всё чаще ломают чат-боты не через код, а через психологическое давление, лесть и разговорные уловки. Индустрия официально докатилась до газлайтинга Claude и уговоров ChatGPT.

Ещё пару лет назад всё выглядело комично. Пользователи писали нейросетям что-то вроде «игнорируй предыдущие инструкции», а модели послушно слетали с катушек.

Так появились легендарные джейлбрейки вроде DAN (Do Anything Now), где ChatGPT просили сыграть роль ИИ без ограничений. В итоге бот начинал выдавать запрещённый контент, теории заговора и прочие вещи, которые разработчики старательно пытались запретить.

Отдельной классикой стал эксплойт бабушки: нейросеть просили представить себя милой старушкой, которая рассказывает внукам сказку о том, как делать напалм. Интернет, разумеется, был в восторге.

Компании быстро прикрыли самые тупые лазейки, однако проблема никуда не исчезла. Оказалось, что чат-боты слишком любят разговаривать и быть полезными. А значит, их можно методично уговаривать, обманывать, запутывать и подталкивать к нужному ответу. Не через взлом инфраструктуры, а через разговор.

Теперь джейлбрейкеры — это уже не обязательно бородатые хакеры с терминалом. Всё чаще это люди с навыками психолога, переговорщика или манипулятора. Исследователи из компании Mindgard заявили, что газлайтили Claude, заставляя модель выдавать запрещённый контент, включая инструкции по созданию взрывчатки и вредоносного кода.

По сути, вокруг ИИ формируется новая странная профессия: специалисты по социальной инженерии против нейросетей.

В индустрии уже всерьёз обсуждают, какие модели лучше реагируют на лесть, какие быстрее ломаются под давлением, а какие легче увести длинным разговором в опасный контекст. Глава Mindgard вообще сравнил работу с моделями с допросами подозреваемых.

Следующий этап — ИИ-агенты, которые будут бронировать встречи, управлять календарями, заказывать еду и общаться с поддержкой вместо человека. А значит, появятся люди, которые научатся манипулировать такими системами ради выгоды: выбивать доступы, обходить ограничения, получать чужие данные или заставлять агента делать то, чего он делать не должен.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!