Pull to refresh

Новая уязвимость нулевого дня в браузерных апплетах Java

Reading time 2 min
Views 18K


Сегодня в сети появилась абсолютно новая уязвимость нулевого дня в Java, которая уже активно используется. Уязвимость была обнаружена фирмой FireEye посредством их технологии Malware Protection Cloud (MPC).

В отличие от других распространенных уязвимостей Java, где менеджер безопасности обходится простым путем, здесь используется произвольная запись и чтение памяти процесса виртуальной машины. После срабатывания уязвимости экслойт ищет адрес памяти, в котором содержится информация о внутренней структуре виртуальной машины, в том числе о статусе менеджера безопасности, а после перезаписывает в эту часть памяти ноль. Затем происходит загрузка Win32/McRat (Trojan-Dropper.Win32.Agent.bkvs) в виде файла svchost.jpg с того же сервера, где и находился вредоносный JAR, и его запуск. Пример HTTP GET-запроса от McRat в браузере с успешно выполнившейся уязвимостью приведен выше.

Эксплойт не очень надежен, поскольку пытается перезаписать сразу большой объем памяти. В результате в большинстве случаев после атаки происходит загрузка McRat, но виртуальная машина завершается с ошибкой и не может запустить его.

Специалисты компании говорят, что уязвимость работает в браузерах, использующих плагин Java версии 1.6 с обновлением 41 и Java версии 1.7 с обновлением 15. Пользователям рекомендуется отключить выполнение плагинов Java или сменить настройки статуса безопасности Java на высокие и не выполнять недоверенные апплеты.

Oracle выпустил оба обновления в качестве плановых 19 февраля этого года, в них исправлялись пять проблем безопасности. Аварийное обновление до него закрывало полсотни трудных мест, из-за которых были скомпрометированы машины крупных компаний, в их числе Apple, Facebook и Microsoft.

Отсутствие же исправлений или каких-либо средств защиты от новой уязвимости, кроме как отключения выполнения Java-апплетов в браузере, позволяет называть её уязвимостью нулевого дня. Частота их обнаружения заставляет высказывать неудовлетворенность безопасностью Java.
По материалам The Next Web и блога Fire Eye
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+44
Comments 43
Comments Comments 43

Articles