Jump to content

Для двух уязвимостей в Java вышли неофициальные исправления


Recommended Posts

Для двух уязвимостей в Oracle Java Runtime Environment (RE), обнаруженных участником Google Project Zero Матеушем Юрчиком, были выпущены неофициальные патчи. Выхода официальных исправлений от компании Oracle еще придется подождать.

В феврале нынешнего года исследователь обнаружил в Java RE четыре уязвимости, позволяющие читать данные за пределами выделенной памяти. Проблемы были выявлены в ходе тестирования шрифтов TrueType и OpenType с помощью техники, известной как фаззинг (автоматическое или полуавтоматическое тестирование, когда приложению передаются на вход неправильные или случайные данные).

Специалисты Google Project Zero присвоили уязвимостям кодовые идентификаторы 1779 , 1780 , 1781 и 1782 и охарактеризовали как «средней опасности».

Производитель был уведомлен об обнаруженных проблемах 12 февраля. Однако в Oracle заявили, что описанные специалистами сценарии атак не позволяют злоумышленникам проэксплуатировать систему жертвы напрямую, поэтому уязвимости будут исправлены только в следующих релизах Java. В связи с этим 18 февраля экперты Google Project Zero раскрыли подробности об уязвимостях широкой общественности.

Команда 0patch компании ACROS Security выпустила собственные патчи для двух из вышеупомянутых уязвимостей, и в скором времени намерена выпустить исправления для оставшихся двух. Патчи можно загрузить совершенно бесплатно, но они работают только на Java 8 update 202.

Следующие обновления от Oracle должны выйти 16 апреля. Возможно, они будут включать в себя исправления для описанных выше уязвимостей.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...