Najnowsza stabilna wersja Javy naraża użytkowników na ataki alarmują eksperci. Wg nich użytkownicy narażeni są na atak nawet wtedy gdy mają ustawiony maksymalny poziom bezpieczeństwa i zaktualizowane oprogramowanie.

W ostatnim miesiącu w Javie zostały załatane dwie niebezpieczne luki zero-day, ale eksperci podkreślają, że Java nadal boryka się z problemem bezpieczeństwa. Polska firma IT Security Explorations ogłosiła, że najnowsza wersja Javy (Java 7 Update 10) nawet przy maksymalnym poziomie bezpieczeństwa pozwala na uruchamianie szkodliwych apletów języka Java, które są niebezpieczne dla komputera. Szkodliwe aplety nie posiadały certyfikatu cyfrowego, ale przypominające bezpieczny aplet.

Wcześniej Oracle wyeliminował wiele problemów bezpieczeństwa związanych z niepodpisanymi aplikacjami java. Przed większością luk bezpieczeństwa można były się zabezpieczyć poprzez ustawienie poziomu bezpieczeństwa na wysoki. Obecnie zagrożenie występuje nawet na najwyższym poziomie bezpieczeństwa.

Adam Gowdiak ekspert w Security Explorations powiedział, że wykonanie niepodpisanego kodu staje się możliwe z powodu niezałatanej luki w Java 7. Wg eksperta lukę znaleziono w Java 7 Update 10, w kolejnym wydaniu Update 11 również jest ona obecna.

Luka nie jest jeszcze wykorzystywana przez cyberprzestępców wg firmy Security Explorations. Oracle został już poinformowany o znalezionym problemie bezpieczeństwa.

Źródło: cybersecurity.ru