Java 7 i kolejna luka. Nic sobie nie robi z "istotnych" ulepszeń w zakresie bezpieczeństwa

Polska firma Security Explorations wykryła kolejną dziurę w Javie "uzbrojonej" w najnowszą aktualizację 11.

Wraz z wydaniem aktualizacji Java 7 Update 10 firma Oracle dokonała "bardzo istotnych" ulepszeń w zakresie bezpieczeństwa, w tym udostępniła użytkownikom funkcję, która pozwalać miała na kontrolowanie poziomu bezpieczeństwa podczas uruchamiania niepodpisanych aplikacji. W teorii chodziło o to, aby przy ustawieniu poziomu zabezpieczenia na "bardzo wysoki" aplikacje takie nie były uruchamiane w przeglądarce internetowej.

Polska firma Security Explorations donosi jednak o wykryciu luki, którą nazwała "Issue 53" i która dowodzi, że wspomniany mechanizm nie działa tak, jak powinien.

"To co odkryliśmy i to, co jest przedmiotem nowej luki w zabezpieczeniach (Issue 53) dowodzi, że niepodpisany kod Java może być z powodzeniem wykonany w atakowanym systemie Windows i to niezależnie od czterech ustawień w Java Control Panel. Nasz kod koncepcyjny który ilustruje lukę Issue 53 został pomyślnie zrealizowany w środowisku Java SE 7 Update 11 (JRE version 1.7.0_11-b21) w systemie Windows 7 i przy ustawieniu bezpieczeństwa w Java Control Panel na bardzo wysokim poziomie" - przekonuje Adam Gowdiak, szef Security Explorations.

Warto dodać, że to nie pierwsze nieprzyjemne odkrycie polskiej firmy w Java 7 Update 11. Kilka dni po wydaniu tej aktualizacji poinformowała bowiem o pozwalających na przeprowadzenie udanego ataku lukach "Issue 51" i "Issue 52".


Zobacz również