Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет

Безопасность Администратору Стратегия безопасности
мобильная версия
, Текст: Сергей Попсулин

В 2013 г. Oracle не смогла устранить уязвимость в Java, однако выяснилось это только сейчас. Более двух лет ПК миллионов пользователей и серверы оставались уязвимы к хакерским атакам. 


Неэффективный патч

Выпущенный в 2013 г. корпорацией Oracle патч для Java, предназначенный для устранения в критической уязвимости, был неэффективен. Об этом сообщили исследователи польской компании Security Explorations, которые еще в 2012 г. и обнаружили эту уязвимость. Она была маркирована как CVE-2013-5838.

Компания Oracle присвоила найденной уязвимости высокую оценку опасности: 9,3 балла из 10 возможных, так как она позволяла злоумышленнику дистанционно скомпрометировать систему. 

Миллионы пользователей с «дырой» на ПК

По словам исследователей, Oracle недостаточно хорошо изучила проблему, и поэтому более двух лет персональные компьютеры оставались уязвимы. Речь идет о миллионах пользователей, подчеркивает Ars Technica.

Четыре символа в коде

Для того чтобы возобновить работоспособность эксплойта после внесенных Oracle изменений, достаточно исправить четыре символа в коде экслойта, рассказал генеральный директор Security Explorations Адам Говдяк (Adam Gowdiak).


Из-за халатности Oracle миллионы ПК оставались уязвимы более 2 лет

Эксперты компании рассказали, что они успешно протестировали модернизированный эксплойт на последних версиях Java: Java SE 7 Update 97, Java SE 8 Update 74 и Java SE 9 Early Access Build 108.

Неправильная оценка уязвимости

Oracle также не до конца изучила уязвимость. В компании сделали вывод, что атаку с помощью CVE-2013-5838 можно провести только на клиентские системы через изолированные (sandboxed) приложения Java Web Start и изолированные Java-апплеты. Однако эксперты из Security Explorations утверждают, что атаки с таким же успехом можно проводить на серверные системы, включая Google App Engine for Java. 

Как себя обезопасить

Правда, в большинстве случаев защитить клиентские системы  достаточно просто — нужно проверить настройки безопасности и убедиться, что разрешено исполнение только подписанных Java-апплетов (это стандартный уровень безпасности в настройках), а также отключить автоматический запуск. После этого злоумышленник не сможет провести атаку, пока не найдет способ обхода настроек безопасности или не заставит пользователя исполнить какой-нибудь вредоносный код на сайте. 

Самостоятельность Oracle

В августе 2015 г. директор Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в блоге корпорации гневное обращение к исследователям с просьбой прекратить присылать Oracle сообщения о найденных уязвимостях в продуктах компании. 

Дело в том, что, по ее словам, изучение кода, как правило, выполняется методом обратного инжиниринга. А этот процесс — есть не что иное, как нарушение пользовательского соглашения на использование продукта. 

Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. «Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде», — заявила Девидсон. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры.