В Java обнаружена серьезная уязвимость

Пользователи операционной системы Windows и среды Java подвержены серьезной уязвимости, эксплуатация которой может полностью скомпрометировать систему. Сообщения об уязвимости в пятницу появились сразу из двух независимых источников.



Сообщается, что проблема кроется в фреймворке Java Web Start. Данная технология была разработана Sun Microsystems и позволяет в упрощенном режиме развертывать Java-приложения в системе. Исследователи обнаружили, что технология Java WS неверно сверяет параметры, передаваемые ей через командную строку. Воспользовавшись этим, атакующий может через HTML-тэги контролировать системные переменные. О факте данного бага сообщил Рубен Сантамарта в блоге на портале ReverseMode.com.

Примерно такое же описание дает и Тевис Орманди, сообщающий на сайте Seclists.org, что простым блокированием соответствующего плагина Java проблему решить не удастся, так как уязвимый компонент инсталлируется сам по себе и функционирует отдельно. "Проще говоря, уязвимости подвержены все Windows-пользователи последней версии Java-машины", - пишет Орманди.

"Java.exe и javaw.exe содержат в себе недокументированный скрытый командный параметр "-XXaltjvm" и "-J-XXaltjvm" (в случае с javaw.exe). Этот параметр подгружает альтернативную библиотеку jvm.dll или libjvm.so. И все. Если мы даем параметр -XXaltjvm=\\p\evil, то файл Javaw.exe загрузит нашу библиотеку", пишет Орманди.

Так как технология Java WS включена в Java Runtime Enviroment, которая используется всеми основными браузерами, то уязвимость затрагивать браузеры Firefox, Google Chrome и Internet Explorer и операционные системы, начиная с Windows 2000 и заканчивая Windows 7. Браузеры под Mac OS X уязвимости не подвержены.

ИТ-специалисты говорят, что уже проинформировали Sun об уязвимости, но в Sun не сочли ее критической настолько, чтобы выпускать экстренный патч.

 Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Криптозащиту данных россиян будут насаждать централизованно

В России с инициативы Минцифры и ФСБ создадут Национальный технологический центр цифровой криптографии, который должен заработать в 2024 году. В Москве перед Новым годом под него зарегистрировали юрлицо — АНО «НТЦ ЦК».

Согласно сообщению Минцифры, основной целью новой некоммерческой организации является внедрение и популяризация использования криптографических методов защиты. С их помощью государство сможет обеспечить информационную безопасность россиян, в частности, защитить персональные данные.

Перед АНО «НТЦ ЦК» также ставят другие задачи:

  • развитие здоровой конкуренции в сфере производства средств криптозащиты;
  • производство компонентов средств защиты ПДн;
  • ведение реестра производителей средств криптозащиты;
  • практическое обучение ИБ-специалистов;
  • определение стандартов в области криптографии и защиты информации.

К реализации проекта привлечены ведущие игроки отечественного рынка криптозащиты — «Информационные технологии и коммуникационные системы», «КРИПТО-ПРО», «Код Безопасности».

«Мы стремимся к тому, чтобы производители средств защиты были мотивированы создавать более качественные продукты, а будущие ИБ-специалисты могли учиться на программах, ориентированных не только на теорию, но и на практику», — заявил замглавы Минцифры Александр Шойтов.

Два года назад Минцифры ратовало за запрет защищенных протоколов TLS 1.3, ESNI, DoH, DoT. По мнению Министерства, их использование мешает блокировать запрещенную информацию в рунете, и такие сайты следует карать как нарушителей. В Китае, к слову, TLS 1.3 и его расширение, ESNI, начали блокировать незадолго до публикации законопроекта Минцифры — в августе 2020 года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru