|
Новооткрит бъг във виртуалната машина на Java може да бъде използван за стартирането на неоторизирани програми в компютрите на потребителите. Пропускът в Java е открит от Тавис Орманди, който работи за търсачката Google. Преди няколко дни той е информирал екипа на Sun за проблема.
„Те ми съобщиха, че не смятат този пропуск за достатъчно опасен и нямат намерение да нарушават графика си при пускането на кръпки. Той включва няколко ъпдейта годишно. Аз не съм съгласен с тяхното мнение.” е съобщил Орманди.
Oracle, които са собственици на Sun, отказват да коментират проблема на този етап. Компанията пусна преди седмица голямо обновление за Java, а следващият ъпдейт е планиран за месец юли.
Пропускът в продукта на Sun позволява на хакерите да атакуват клиентската машина и да стартират на нея неоторизирани Java програми. Това е възможно, защото Java позволява на разработчиците да казват на виртуалната машина JVM да инсталира алтернативни Java библиотеки. Хакерът може да задейства своята вредоносна програма като създаде заразена библиотека и подаде инструкции за инсталиране към JVM.
Марк Майфрет, който е експерт във FireEye смята, че Oracle прави грешка като не пуска кръпка за този бъг възможно най-скоро.
Новият бъг е много коварен защото се дължи на недомислица в структурата на Java, а не на обичайна грешка при програмирането. Базираните на Java атаки са сравнително рядко явление и повечето хакери предпочитат да използват класически методи, сред които са пропуските в интернет браузърите и Adobe Reader. |
|
