9 февраля 2016

Oracle выпустила внеплановое обновление для Java — Java 8 Update 73 (8u73, а также 6u113 и 7u97). В новой версии ПО исправлена уязвимость CVE-2016-0603 (Security Alert for CVE-2016-0603), которая позволяет злоумышленникам скомпрометировать систему при установке продукта с использованием дистрибутивов версий Java 6, 7 и 8. Уязвимость присутствует в компоненте установщика (Windows Installer) и заключается в том, что он может исполнить определенные файлы в директории загрузок пользователя (Downloads), заранее подготовленные злоумышленником.

Уязвимость является относительно сложной для эксплуатации, поскольку атакующим нужно разместить необходимые файлы в директории загрузки еще до того как пользователь запустит на исполнение дистрибутив с ПО, поэтому ей присвоен не самый высокий уровень опасности CVSS (7.6). В то же время, при успешной реализации сценария атаки, злоумышленники смогут получить полный контроль над системой, поскольку DLL-библиотека злоумышленников будет исполнена в контексте процесса с высокими правами Администратора в системе.

Так как сама уязвимость располагается в установщике, а не в работающих файлах ПО, пользователю с установленным продуктом не нужно его обновлять. Пользователям, которые уже загрузили дистрибутивы предыдущих версий, рекомендуется удалить их и скачать обновленные.

habrahabr.ru

дополнительноShellshock оставил беззащитным ИнтернетКомпания Google представила набор тестов WycheproofМедленно, но верно: о прошлом, настоящем и будущем RubyФСБ закроет WindowsWirelurker и еще 4 уязвимости, которыми "болеют" устройства Apple