Java i kolejna luka "zero-day". Już trzecia w tym roku...

Specjaliści od bezpieczeństwa odkryli kolejną lukę "zero-day" w ostatnich wersjach Javy. Dzięki niej atakujący może na komputerze ofiary zainstalować złośliwe oprogramowanie.

Nowa luka "zero-day" w Javie (v1.6 Update 41 i v1.7 Update 15) została odkryta przez specjalistów z firm FireEye i Kaspersky Lab. Co najważniejsze, błąd ten (CVE-2013-1493) jest już wykorzystywany przez hakerów. Za jego pośrednictwem pobierany jest i instalowany trojan "McRAT" zapewniający atakującemu zdalny dostęp do komputera ofiary i możliwość dalszego pobierania złośliwego oprogramowania.

Jak ominięte zostają zabezpieczenia Javy? Podczas ataku przygotowany z myślą o wykorzystaniu luki plik JAR (Java archive) próbuje unieruchomić wbudowanego w Javę menadżera bezpieczeństwa nadpisując duży fragment wykorzystywanej przez niego pamięci.

Błąd CVE-2013-1493 został już zgłoszony do Oracle. Warto jednakże tutaj zauważyć, że w tym roku jest to już trzecia luka Java "zero-day", co zmusiło amerykańską firmę do wydawania nieplanowanych aktualizacji bezpieczeństwa. Tak wielka podatność na zagrożenia zmusiła też do działania np. firmę Apple, która chcąc chronić użytkowników platformy OS X zdecydowała się nawet w niektórych przypadkach na blokowanie Javy do czasu wydania odpowiedniego patcha.


Zobacz również