Cайт веб-разработчика, программиста Ruby on Rails ESV Corp. Екатеринбург, Москва, Санкт-Петербург, Первоуральск

Oracle исправила серьезную уязвимость в Java для Windows

Oracle выпустила внеплановое обновление для Java — Java 8 Update 73 (8u73, а также 6u113 и 7u97). В новой версии ПО исправлена уязвимость CVE-2016-0603 (Security Alert for CVE-2016-0603), которая позволяет злоумышленникам скомпрометировать систему при установке продукта с использованием дистрибутивов версий Java 6, 7 и 8. Уязвимость присутствует в компоненте установщика (Windows Installer) и заключается в том, что он может исполнить определенные файлы в директории загрузок пользователя (Downloads), заранее подготовленные злоумышленником.

Уязвимость является относительно сложной для эксплуатации, поскольку атакующим нужно разместить необходимые файлы в директории загрузки еще до того как пользователь запустит на исполнение дистрибутив с ПО, поэтому ей присвоен не самый высокий уровень опасности CVSS (7.6). В то же время, при успешной реализации сценария атаки, злоумышленники смогут получить полный контроль над системой, поскольку DLL-библиотека злоумышленников будет исполнена в контексте процесса с высокими правами Администратора в системе.

Так как сама уязвимость располагается в установщике, а не в работающих файлах ПО, пользователю с установленным продуктом не нужно его обновлять. Пользователям, которые уже загрузили дистрибутивы предыдущих версий, рекомендуется удалить их и скачать обновленные.

habrahabr.ru