Критическое обновление Java SE устраняет 50 уязвимостей

Компания Oracle представила крупнейшее в истории обновления с исправлением проблем безопасности в Java SE - Java SE 7 Update 13 и Java SE 6 Update 39, в которых устранено 50 уязвимостей, 26 из которым присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

Изначально, выпуск обновлений был запланирован на 19 февраля, но был выпущен раньше срока, так как одна критическая уязвимость, исправленная в браузерном Java-плагине, имеет характер zero-day проблемы, для которой в сети уже зафиксированы факты эксплуатации. Все критические проблемы подвержены удалённой эксплуатации без необходимости аутентификации. 23 критические уязвимости проявляются на стороне клиента при обработке в браузерном плагине специально оформленного Java Web Start приложения или Java-апплета, трём проблемам подвержены как клиентские, так и серверные системы (эксплуатация через обращение к серверному API), передает uinc.ru.

Отдельно отмечаются 2 уязвимости в серверном компоненте JSSE (Java Secure Socket Extension). Из общего числа проблем 49 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 39 уязвимостей выявлено в Java Runtime Environment, а 11 в JavaFX. Из уязвимостей в JRE две проблемы найдены в 2D-подсистеме, 4 в CORBA, 4 в AWT, 10 в Deployment Toolkit, 3 в JMX, 5 в библиотеках, 2 в JSSE, 1 в Java Beans, 1 в системе скриптинга, 1 в звуковой подсистеме, 1 в инсталляторе, 1 в JAX-WS, 1 в JAXP, 1 в RMI, 1 в сетевой подсистеме.

В анонсе Oracle отмечается, что опасность эксплуатации проблем безопасности снижена благодаря тому, что начиная с Java SE 7 Update 11 был изменён предлагаемый по умолчанию уровень безопасности. Если ранее при выполнении апплетов использовался средний уровень безопасности, то теперь задействован наивысший уровень, включающий дополнительные проверки и требующий обязательного ручного подтверждения запуска в браузере неподписанных апплетов, приложений Java Web Start или JavaFX. Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, недавно заявил, что уровни безопасности можно обойти и они эффективны только в теории.

На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На форуме продают учётные данные 21 млн пользователей VPN для Android

Неизвестный киберпреступник на популярном хакерском форуме продаёт базы данных, которые, по его словам, содержат логины и пароли пользователей трёх VPN-приложений для мобильной операционной системы Android: SuperVPN, GeckoVPN и ChatVPN. В общей сложности злоумышленник предлагает 21 млн записей.

Это довольно интересная утечка, учитывая, что SuperVPN загрузили более 100 млн пользователей в официальном магазине Android-приложений Google Play Store. У GeckoVPN и ChatVPN результаты поскромнее, однако их тоже нельзя назвать плохими: 10 млн и 50 тыс. соответственно.

Преступник, разместивший на хакерском форуме объявление, продаёт адреса электронной почты и случайно сгенерированные строки, которые используются в качестве паролей. Сумму продавец не назвал, однако известно, что в общей сложности от утечки пострадали 21 млн пользователей VPN-клиентов.

 

Сотрудники издания CyberNews обратились за комментариями к представителям SuperVPN, GeckoVPN, ChatVPN и попросили подтвердить факт компрометации данных. Однако разработчики так и не вышли на связь.

Среди утёкших данных, по словам CyberNews, можно найти адреса электронной почты, имена пользователей, полные настоящие имена, страны проживания, сгенерированные случайным образом строки паролей, платёжную информацию, статус премиального пользователя и срок его действия.

 

Помимо этого, в выставленном на продажу архиве есть и данные об устройствах пользователей: серийный номер девайса, тип смартфона и его производитель, идентификатор устройства, IMSI-номера. Продавец при этом утверждает, что все данные он получил из общедоступных баз.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru