В Java и библиотеках Python выявлены уязвимости, которые позволяют устанавливать соединения в обход фаерволлов и производить целый ряд различных атак.

Проблема заключается в некорректной проверке синтаксиса команд в устанавливаемых FTP-соединениях, позволяющих внедрять произвольные команды. Несмотря на то, что разработчиков Java и Python уведомили еще в 2016 г., исправлений до сих пор нет. В Java и Python обнаружены критические уязвимости, которые в теории позволяют злоумышленникам обходить фаерволлы.

Польский исследователь из компании Security Explorations обнаружил, что патч для уязвимости CVE-2013-5838, выпущенный Oracle два года назад, не устранял опасную уязвимость.

Все это время пользователи оставались уязвимы для атак. Уязвимость была обнаружена еще в 2012 году. Почти три года назад исследователи из той же Security Explorations нашли в Java Standard Edition (SE) 69 различных проблем, которые компания Oracle исправляла в течение 2012-2013 годов. Уязвимость CVE-2013-5838 была признана критической и позволяла осуществить выход за рамки песочницы.

Oracle согласилась выполнить требования Федеральной комиссии США по торговле в части информирования пользователей о том, что при обновлении Java SE на их компьютерах сохраняются устаревшие модули среды исполнения, которые остаются уязвимыми к хакерским атакам.

Oracle согласилась выполнить требования Федеральной комиссии США по торговле в обмен на прекращение расследования в отношении корпорации. Компания пошла на это после того, как FTC выдвинула обвинение в том, что корпорация вводит пользователей в заблуждение относительно безопасности среды исполнения Java SE.

В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons.

Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40. Многие библиотеки, в числе которых Apache Directory API, JMS Transport и некоторые версии Webx All-in-one Bundle, подвержены обнаруженной в ноябре проблеме. Ранее, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться уязвимостью для атак на Java серверы приложений.

Исследование компании FoxGlove Security выявило опасный баг в широко распространенной библиотеке, из состава Apache Commons. Уязвимость может использоваться для удаленного исполнения кода и ставит под угрозу многие продукты, работающие на Java.

Основываясь на исследовании, специалисты FoxGlove Security продемонстрировали, что хакеры с легкостью могут воспользоваться данной уязвимостью для атак на Java серверы приложений, а также на любые другие продукты, в которых используется коллекция Apache Commons.

Последние дни богаты на сообщения о новых 0day уязвимостях и эксплоитах. В выходные, благодаря утечке данных Hacking Team, обнаружили еще две 0day в Adobe Flash, теперь к череде свежих багов добавилась и уязвимость в Java.

Исследователи обнаружили эксплойт для уязвимости нулевого дня, содержащейся в новейшей версии Java. Они считают, что авторы эксплойта связаны с кампанией Operation Pawn Storm, основными целями которой стали организации уровня НАТО и Белого дома. Это первый обнаруженный эксплойт нулевого дня для Java за последние два года.

Эксперты смогли восстановить информацию о нажатых клавишах и кликах мышью в веб-браузере, используя кэш-память центрального процессора компьютера и все ее содержимое.

По их сведениям, эксплойт эффективен на компьютерах с новыми моделями процессоров производства Intel. Исследователи разработали метод атаки, выполняемой через JavaScript. Суть метода заключается в измерении времени, требующегося на доступ к кэш-памяти последнего уровня – кэш L3 разделяется всеми ядрами процессора – и сравнении этого времени с действиями пользователя.

Исследователи заявили об обнаружении множественных серьезных уязвимостей в Google App Engine. Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java. 

Сервис представляет собой online-платформу от Google, которая предназначена для запуска приложений с использованием широкого ряда популярных языков и фреймворков. Большая часть приложений, использующих GAE, написана на языке Java. Специалисты объяснили, что уязвимости позволяют удаленному пользователю осуществить выполнение произвольного кода.