Эксперты по безопасности предупреждают, что пользователи Java 6 уязвимы для недостатка нулевого дня

Ряд экспертов по безопасности предупреждают, что компании, которые не могут обновить Java 6 в своих системах, уязвимы для атак.

Окончательное исправление для устаревшей платформы Java 6 было выпущено Oracle в апреле. Ошибка CVE-2013-2463 оценена как «критическая», и описано ниже :

«Неуказанная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 с обновлением 21 и более ранних версий, 6 с обновлением 45 и более ранних версиях, а также с 5.0 обновлением 45 и более ранними версиями и OpenJDK 7 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с 2D. "

Уязвимость «может быть использована только в изолированных приложениях Java Web Start и изолированных апплетах Java», согласно Oracle SE SE Critical Patch Update Advisory в июне. Баг был оценен в десять баллов из десяти в общей системе оценки уязвимостей Oracle - рейтинг уязвимости крайне важен.

Хотя пользователи Java 6 остаются уязвимыми, ошибка была исправлена ​​в Java 7. Java 6 была удалена, что означает, что обновления доступны только платящим клиентам.

Тимо Хирвонен, старший аналитик в охранной фирме F-Secure, рассказал SCMagazine что проблема теперь более важна, так как коммерчески доступный набор эксплойтов теперь пользуясь широко распространенного использования Java 6 и дыр в безопасности. Нейтрино эксплойт использует уязвимости Java, обычно используя дыры для загрузки вымогателей в компьютерные системы - блокировка компьютера до уплаты комиссии.

Нейтрино можно арендовать хакерам примерно за 450 долларов в месяц.

Хирвонен рассказал изданию:

«Злоумышленник может выполнить свой собственный код в системе, чтобы заразить его вредоносным ПО. Возможно, вы получаете некоторые ссылки в виде спама, и эта ссылка ведет к этому комплекту эксплойтов Neutrino, или вы посещаете зараженный веб-сайт».

Хирвонен - ​​не единственный исследователь безопасности, связанный с последними разработками Java. Вольфганг Кандек, технический директор охранной фирмы Qualys, также считает, что значительное число пользователей уязвимо для недостатка, как он пишет в недавнем сообщении в блоге ,

«По сути, это неявная уязвимость нулевого дня, поскольку мы знаем о ее существовании, но под рукой нет патча», - говорит Кандек. «Мы по-прежнему наблюдаем очень высокие показатели установки Java 6, что составляет чуть более половины пользователей Java, что означает, что многие организации уязвимы. Организации должны обновлять Java 7, где это возможно, а это означает, что ИТ-администраторы должны проверить у своих поставщиков в случае обновления путь существует.

Однако одна проблема с обновлением заключается в том, что критически важные для бизнеса приложения в устаревших системах могут не функционировать. Вместо этого корпорациям следует рассмотреть возможность внесения в белый список Java-апплетов через браузеры, которые поддерживают службу, включая Internet Explorer и Google Chrome, чтобы снизить риск.

«Поэтому, по сути, они принимают риск устаревшей Java, чтобы иметь возможность продолжать вести бизнес», - сказал Кандек.