В минувшую среду Oracle выпустила внеочередную заплатку для бреши в Java, некорректно пропатченной в 2013 году. Две недели назад исследователи из польской компании Security Explorations поведали миру, что, несмотря на патч, обнаруженную ими уязвимость CVE-2013-5838 все еще можно успешно использовать для обхода песочницы.

В новом информационном бюллетене Oracle никак не подтверждает эту информацию и не вдается в детали, лишь призывает пользователей как можно скорее применить патч, поскольку технические подробности уязвимости, получившей новый CVE-идентификатор, уже стали достоянием широких масс. Данная брешь актуальна для Java SE 7 Update 97 и Java 8 Update 73/74 на Windows, Mac OS X, Linux и Solaris.

По свидетельству главы Security Explorations Адама Говдяка (Adam Gowdiak), новый патч устраняет уязвимость надлежащим образом. «Мы прогнали свой PoC-код и обнаружили, что он перестал работать, — подтвердил эксперт в своем комментарии Threatpost. — Не думаю, что патч вновь можно будет сломать, так как Oracle теперь известно об изменении нашей политики в отношении раскрытия уязвимостей».

Security Explorations огласила подробности данной бреши не только в аналитической статье, но также в ходе конференции JavaLand. Эти публичные раскрытия, по словам Говдяка, отражают новое отношение компании к неисправным патчам для уязвимостей, о которых она докладывает вендорам: отныне такие факты предаются гласности без предварительного уведомления.

Категории: Уязвимости