В Java и библиотеках Python выявлены уязвимости, которые позволяют устанавливать соединения в обход фаерволлов и производить целый ряд различных атак.
Проблема заключается в некорректной проверке синтаксиса команд в устанавливаемых FTP-соединениях, позволяющих внедрять произвольные команды. Несмотря на то, что разработчиков Java и Python уведомили еще в 2016 г., исправлений до сих пор нет. В Java и Python обнаружены критические уязвимости, которые в теории позволяют злоумышленникам обходить фаерволлы.
Читать далееПольский исследователь из компании Security Explorations обнаружил, что патч для уязвимости CVE-2013-5838, выпущенный Oracle два года назад, не устранял опасную уязвимость.
Все это время пользователи оставались уязвимы для атак. Уязвимость была обнаружена еще в 2012 году. Почти три года назад исследователи из той же Security Explorations нашли в Java Standard Edition (SE) 69 различных проблем, которые компания Oracle исправляла в течение 2012-2013 годов. Уязвимость CVE-2013-5838 была признана критической и позволяла осуществить выход за рамки песочницы.
Читать далееOracle согласилась выполнить требования Федеральной комиссии США по торговле в части информирования пользователей о том, что при обновлении Java SE на их компьютерах сохраняются устаревшие модули среды исполнения, которые остаются уязвимыми к хакерским атакам.
Oracle согласилась выполнить требования Федеральной комиссии США по торговле в обмен на прекращение расследования в отношении корпорации. Компания пошла на это после того, как FTC выдвинула обвинение в том, что корпорация вводит пользователей в заблуждение относительно безопасности среды исполнения Java SE.
Читать далееВ середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons.
Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40. Многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены обнаруженной в ноябре проблеме. Ранее, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений.
Читать далееИсследование компании FoxGlove Security выявило опасный баг в широко распространенной библиотеке, из состава Apache Commons. Уязвимость может использоваться для удаленного исполнения кода и ставит под угрозу многие продукты, работающие на Java.
Основываясь на исследовании, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться данной уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons.
Читать далееПоследние дни богаты на сообщения о новых 0day уязвимостях и эксплоитах. В выходные, благодаря утечке данных Hacking Team, обнаружили еще две 0day в Adobe Flash, теперь к череде свежих багов добавилась и уязвимость в Java.
Исследователи обнаружили эксплойт для уязвимости нулевого дня, содержащейся в новейшей версии Java. Они считают, что авторы эксплойта связаны с кампанией Operation Pawn Storm, основными целями которой стали организации уровня НАТО и Белого дома. Это первый обнаруженный эксплойт нулевого дня для Java за последние два года.
Читать далееЭксперты смогли восстановить информацию о нажатых клавишах и кликах мышью в веб-браузере, используя кэш-память центрального процессора компьютера и все ее содержимое.
По их сведениям, эксплойт эффективен на компьютерах с новыми моделями процессоров производства Intel. Исследователи разработали метод атаки, выполняемой через JavaScript. Суть метода заключается в измерении времени, требующегося на доступ к кэш-памяти последнего уровня – кэш L3 разделяется всеми ядрами процессора – и сравнении этого времени с действиями пользователя.
Читать далееИсследователи заявили об обнаружении множественных серьезных уязвимостей в Google App Engine. Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java.
Сервис представляет собой online-платформу от Google, которая предназначена для запуска приложений с использованием широкого ряда популярных языков и фреймворков. Большая часть приложений, использующих GAE, написана на языке Java. Специалисты объяснили, что уязвимости позволяют удаленному пользователю осуществить выполнение произвольного кода.
Читать далееAxarhöfði 14,
110 Reykjavik, Iceland