Программное обеспечение

Критические обновления от Oracle за октябрь 2011 г.

Из-за недавней шумихи по поводу Duqu прошел незамеченным выпуск Oracle множества критических обновлений (см. раздел «Ссылки по теме» в правом верхнем углу страницы). Самое интересное, хотя, пожалуй, не самое важное с практической точки зрения – это обновление Java SE BEAST. Oracle утверждает, что закрыла 57 различных уязвимостей в своей продуктовой линейке, включая патчи для Java и Sun Ray – решение на основе виртуализации. Но самый интересный повод для обсуждения – это выпуск патча, закрывающего уязвимость CVE-2011-3389, т.е. бреши в JSSE.

На конференции Ekoparty в Аргентине, о которой мы писали в прошлом месяце, группа исследователей BEAST показала новый эксплойт для взлома SSL/TLS-сессий с использованием методики, описанной почти десять лет назад. Понятно, что интерес представляет не описание идеи, а ее реализация, так что эта демонстрация на многих произвела впечатление, а крупным производителям ПО прибавила работы. Среди этих производителей был и Oracle, поскольку продемонстрированный эксплойт использовал уязвимости в Java-коде (исследователи утверждали, что в коде Microsoft Silverlight и Javascript также имеются уязвимости, но эксплойты для них в этот раз не были представлены. К сожалению, код разработанного BEAST эксплойта для уязвимости Silverlight опубликован в сети). Эксплойт чуть не привел к еще более печальным последствиям, когда Mozilla заговорила о возможности блокировать в своих браузерах использование любых Java-надстроек: «В данный момент мы рассматриваем возможность полностью заблокировать Java во всех установках Firefox на компьютерах пользователей. Если мы примем такое решение, то сообщим об этом дополнительно». Несколько странно то, что Oracle довольно низко оценила важность этого обновления, оценив его на 4,3 балла по десятибалльной шкале, где 10 баллов соответствуют уязвимостям, представляющим наибольшую опасность.

В то же время Oracle выпустила шесть разных патчей для Java, оцененных на 10 баллов каждый; из них четыре для недавно выпущенной Java 7. Патчи затрагивают архитектуру самой JRE, AWT, десериализацию и скриптовые компоненты JRE.

По моему опыту, Sun Ray, решение Oracle на основе виртуализации, широко используется в корпоративных облачных сервисах, и администраторам «облака» нужно знать, что производитель выпустил для этой платформы патч, закрывающий уязвимость CVE-2011-3538 и устраняющий связанные с ней проблемы с аутентификацией.

Критические обновления от Oracle за октябрь 2011 г.

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике