Если у вас нет продукта Oracle, требующего Java 6, и вы не платите за поддержку этой версии платформы, то последние обновления для нее, которые вы видели, датируются февралем. Причем это не значит ни того, что злоумышленники отказались от атак на Java 6, ни того, что все компании уже обновились до версии 7.

По сообщениям, код эксплойта для уже закрытой уязвимости в Java 6 вложен в эксплойт-кит Neutrino, что является еще одним знаком для организаций, что следует своевременно обновлять Java и Java-плагин для браузера. Уязвимость CVE-2013-2463  была закрыта в июне, в Update 25 для Java 7. В соответствии с записью в CVE, изъян обнаружен в 2D-подсистеме Java и имеет место в Java SE7 Update 21, Java 6 Update 45, Java 5.0 Update 45 и в более ранних версиях, а также в OpenJDK 7. Новый эксплойт — очередной из длинного ряда уязвимостей, позволяющих обойти сэндбокс Java, и он связан с неправильной верификацией атрибута изображения в Java 2D.

«Эта ошибка очень серьезна и может приводить к полному нарушению безопасности Java, — сообщил Адам Говдьяк из польской компании Security Explorations. — Java 2D — компонент, особенно уязвимый для проблем такого рода, так как для выполнения множества графических операций он обращается к нативному коду».

Говдьяк сказал, что не видел кода нового эксплойта и не может комментировать его эффективность и надежность. Однако он присоединился к хору экспертов, призывающих организации перейти на Java 7.

«Java SE 6 не хватает уровней безопасности (предупреждений системы безопасности), появившихся в Java SE 7. Согласно недавно опубликованным данным, эта платформа еще широко используется компаниями, но поддержка и обновления для нее доступны лишь клиентам, платящим за них, — отметил Говдьяк. — Все это делает Java SE 6 привлекательной мишенью для злоумышленников».

Тем не менее Java 7 также не избежала проблем с безопасностью. Несколько уязвимостей, позволяющих обходить сэндбокс и эксплойты, обнаружены в этом году, и многие из них приводят к серьезным проблемам в Reflection API, появившемся в Java 7.

В последних обновлениях Java были внесены изменения, по умолчанию препятствующие запуску неподписанных апплетов. Пользователи также могут увидеть улучшенные предупреждения системы безопасности о потенциально опасных апплетах. В то время как подписанные апплеты ограничивают эффективность некоторых зловредов, было доказано, что злоумышленникам не так уж сложно раздобыть краденые цифровые сертификаты, которые позволяют выдать зловредные апплеты за легитимные.

В Oracle также заявляли, что выпуск Java 8 задержан до первого квартала 2014 года для приведения системы безопасности в порядок. В Oracle обещали улучшить модель безопасности Java, добавить функций безопасности и увеличить скорость исправления уязвимостей.

«Уровни безопасности, появившиеся в Java SE 7, все изменили — из-за многочисленных предупреждений системы безопасности Java SE 7 менее привлекательна для злоумышленников», — сказал Говдьяк.

Как считает Вольфганг Кандек из Qualys,  факт появления эксплойтов для Java 6 в эксплойт-ките в сочетании с широкой распространенностью Java 6 является поводом для тревоги. В блоге Laws of Vulnerabilities («Законы уязвимостей») Кандек отметил, что более половины Java-пользователей используют Java 6.

Как обычно, эксперты советуют всем пользователям и организациям обновиться до Java 7, но в некоторых случаях это легче сказать, чем сделать. Кандек отметил, что во многих компаниях Java 6 связана с важными бизнес-приложениями и, почти как в игре «Дженга», ее удаление или обновление могут вызвать падение всей башни.

«По сути, они принимают риск, который несет устаревшая Java, в обмен на возможность продолжать вести дела», — сказал Кандек в посте блога.

Oracle прекратил бесплатную поддержку Java 6 в феврале, перестав выпускать бесплатные обновления, и это значит, что только те пользователи, которые платят за поддержку, могут установить Java 6 Update 51, новейшее обновление для Java 6.

Категории: Главное, Кибероборона, Уязвимости