С недавних пор на Java-фронте воцарилось относительное затишье, и это разительная и приятная перемена: всего лишь год назад несовершенство данной платформы было притчей во языцех. Эксплойты уязвимостей в Java множились как на дрожжах и составляли популярный вектор целевых атак, включая атаки по методу «хищник у водопоя» (watering hole). От этих узконаправленных нападений пострадали многие правительственные ведомства, производственные компании и активистские организации.

Январский выпуск критических патчей от Oracle вновь напомнил о том, что не все еще ладно в Java-королевстве. Этот внушительный пакет закрывает 144 уязвимости в разных продуктах компании, в том числе 36 — в платформе Java, причем 34 из них допускают возможность удаленной эксплуатации. Большинство закрываемых уязвимостей в Java обнаружены на стороне клиента и лишь одна — на стороне сервера; пяти патчам присвоена высшая степень важности по 10-балльной шкале Oracle, еще пяти — 9,3.

По словам Эрика Мориса (Eric Maurice), директора Oracle по обеспечению безопасности программных продуктов, злоумышленник может использовать серверную брешь в Java путем отправки особым образом сформированных данных через API уязвимого компонента, что помогает ему обойти песочницу. «Эксплойт ряда ныне закрываемых уязвимостей может оказаться невозможным, если нужный компонент отсутствует или труднодоступен, — комментирует руководитель. — Включенная в набор критических патчей программа-подсказка поможет пользователю обеспечить безопасность на всю глубину рабочей среды».

На долю Java в квартальном выпуске Oracle пришлось наибольшее количество критических патчей; аналогичные заплатки обрели также еще три линейки: MySQL, банковская платформа FLEXCUBE и продуктовый портфель Oracle Fusion Middleware. В MySQL разработчик суммарно исправил 18 багов; три из них чреваты удаленным эксплойтом, включая уязвимость в MySQL Enterprise Monitor, которой присвоена степень риска 10.

В компонентах Fusion Middleware было совокупно закрыто 22 уязвимости, из которых 19 могут использоваться удаленно, в том числе критическая ошибка в Oracle WebCenter Sites. Разработчик отмечает, что продукты Fusion Middleware используют компоненты Oracle Database Server, поэтому во избежание неприятностей последние нужно обязательно латать по мере выхода патчей. Январский выпуск содержит пять исправлений для Oracle Database, включая заплатку для удаленно эксплуатируемой бреши в компоненте Core RDBMS.

Категории: Уязвимости