Появившиеся недавно в Java новые настройки безопасности, призванные блокировать браузерные атаки, можно обойти, выяснил Адам Говдяк, глава компании Security Explorations.
Самый строгий из четырех вариантов конфигурации Java, появившихся в декабре, обещает предотвратить запуск любого аплета, не имеющего действительного сертификата; остальные накладывают менее жесткие ограничения. Но в Security Explorations нашли уязвимость, которая позволяет выполнять неподписанный код Java независимо от установок в панели управления. Говдяк разработал концептуальный вариант эксплойта, который срабатывает на Java 7 Update 11, самом новом обновлении платформы, и отправил описание ошибки в Oracle.
Свидетельств того, что злоумышленники пользуются новой уязвимостью, пока нет, но по мнению Говдяка, обнаруживается она предельно просто. Между тем, по некоторым оценкам, сейчас половина всех заражений приходится на Java-эксплойты. Чаще всего это атаки вида drive-by, то есть совершаемые «мимоходом»: вредоносные программы устанавливаются на ПК и Mac просто при посещении зараженных сайтов. Для защиты Говдяк советует пользоваться браузерами с функцией click-to-play, которая принуждает пользователя давать разрешение на каждый запуск любого плагина. Такая функция есть, например, в Chrome и Firefox.