Java 7: kolejna luka wykryta przez polską firmę Security Explorations

Polska firma Security Explorations zidentyfikował nową lukę w najnowszej wersji Javy. Dla przypomnienia, firma Oracle kilka dni temu wydała Critical Patch Update.

Niespełna tydzień temu firma Oracle opublikowała zawierający krytyczne poprawki Critical Patch Update. Specjaliści z polskiej firmy Security Explorations nie dają jej jednak wytknąć i opublikowali raport, w którym omawiają wykrytą przez nich nową lukę związaną z Reflection API i nękającą wszystkie warianty Javy 7, w tym ostatnią aktualizację 21.

"Luka może być wykorzystana do pełnego obejścia zabezpieczeń "piaskownicy" w atakowanym systemie. Skuteczne jej wykorzystanie w przeglądarce wymaga prawidłowej reakcji użytkownika, który musi w wyświetlonym oknie z ostrzeżeniem zaakceptować ryzyko uruchomienia potencjalnie szkodliwej aplikacji Java" - tłumaczy Adam Gowdiak, szef firmy Security Explorations.

Dodaje jednocześnie, że rok temu sygnalizował Oracle wiele problemów związanych z Javą SE 7, a w szczególności Reflection API. Dużym zaskoczeniem było więc dla niego, że po takim okresie czasu był jeszcze w stanie odkryć "jedną z najprostszych a jednocześnie bardzo groźnych luk bazujących na Java Reflection API".

Raport trafił już do firmy Oracle. Wykryta luka nie została jeszcze przez nią potwierdzona, co jednak zdaniem Gowdiaka powinno wkrótce nastąpić.


Zobacz również