Представители польской компании Security Explorations заявили об обнаружении новой уязвимости в Java 7, которая позволяет злоумышленнику обойти песочницу программного обеспечения и выполнить произвольный код на системе.
Для подтверждения наличия бреши Адам Гоудиак (Adam Gowdiak), генеральный директор и основатель Security Explorations, отправил уведомление с PoC-кодом уязвимости в Oracle. По словам исследователя, уязвимость присутствует в Reflection API – функции в Java 7. В Security Explorations подтвердили, что PoC-код эксплоита работает для Java SE 7 Update 25 и более ранних версий.
Гоудиак заявил, что обнаруженная уязвимость может позволить хакерам осуществить «классическую» атаку для поражения виртуальной машины Java, которая известна уже на протяжении 10 лет.
«Это один из тех рисков, от которого следует защищаться в первую очередь, при нововведениях в Java на уровне ядра виртуальной машины. Удивительно, что защита от такого типа атак не была реализована в Reflection API при разработке Java 7», – заявил эксперт.
По утверждениям исследователя, уязвимость позволяет злоумышленнику нарушить фундаментальные функции безопасности виртуальной машины Java. «В результате атаки мошенник может вносить изменения в операции преобразования типа», – заявил Гоудиак. В Java операции подобного типа должны следовать строгим правилам для того, чтобы доступ к памяти осуществлялся безопасно.
Источник: http://www.securitylab.ru/