Специалисты сомневаются в том, что обновление, выпущенное Oracle, в должной степени защитит пользователей, и рекомендуют им отключить Java в своих браузерах.
Корпорация Oracle объявила в своем блоге о выпуске бюллетеня безопасности Security Alert CVE-2012-0422, устраняющего две уязвимости в Java для браузеров. Обе уязвимости носят критический характер, так как позволяют хакерам удаленно взламывать компьютер жертвы.
Oracle рекомендует установить обновление при первой возможности.
Для того чтобы предоставить хакерам доступ к своей системе, пользователю достаточно посетить зараженный сайт, на котором размещен вредоносный Java-апплет. После выполнения апплета хакер получает возможность запуска произвольного кода в целевой системе, рассказали в Oracle.
Помимо выпуска бюллетеня, Oracle по умолчанию выставила защиту Java для пользователей на высокий уровень. В этом режиме каждый раз при попытке выполнения Java-апплета, даже если он имеет сертификат, пользователь будет получать запрос.
Это поможет защититься от взлома, так как пользователь сможет отклонить запрос на исполнение апплета, который может носить вредоносный характер, подчеркнули в компании.
Уязвимости, о которых шла речь выше, касаются только версии Java 7 и не затрагивают Java для серверов, настольные приложения и встроенную Java.
Адам Годвяк (Adam Godwiak), который первым обнаружил уязвимости, считает, что выпущенный Oracle бюллетень не несет должный уровень защиты. Он рекомендует отключить Java. То же самое рекомендует сделать Computer Emergency Readiness Team (US-CERT). Организация сообщила, что в настоящее время уязвимости активно эксплуатируются.
Напомним, что за последние несколько месяцев это уже третий случай обнаружения в Java критических уязвимостей. В последний раз такая уязвимость была найдена в сентябре 2012 г.