Сегодня в сети появилась абсолютно новая уязвимость нулевого дня в Java, которая уже активно используется. Уязвимость была обнаружена фирмой FireEye посредством их технологии Malware Protection Cloud (MPC).
В отличие от других распространенных уязвимостей Java, где менеджер безопасности обходится простым путем, здесь используется произвольная запись и чтение памяти процесса виртуальной машины. После срабатывания уязвимости экслойт ищет адрес памяти, в котором содержится информация о внутренней структуре виртуальной машины, в том числе о статусе менеджера безопасности, а после перезаписывает в эту часть памяти ноль. Затем происходит загрузка Win32/McRat (Trojan-Dropper.Win32.Agent.bkvs) в виде файла svchost.jpg с того же сервера, где и находился вредоносный JAR, и его запуск. Пример HTTP GET-запроса от McRat в браузере с успешно выполнившейся уязвимостью приведен выше.
Эксплойт не очень надежен, поскольку пытается перезаписать сразу большой объем памяти. В результате в большинстве случаев после атаки происходит загрузка McRat, но виртуальная машина завершается с ошибкой и не может запустить его.
Специалисты компании говорят, что уязвимость работает в браузерах, использующих плагин Java версии 1.6 с обновлением 41 и Java версии 1.7 с обновлением 15. Пользователям рекомендуется отключить выполнение плагинов Java или сменить настройки статуса безопасности Java на высокие и не выполнять недоверенные апплеты.
Oracle выпустил оба обновления в качестве плановых 19 февраля этого года, в них исправлялись пять проблем безопасности. Аварийное обновление до него закрывало полсотни трудных мест, из-за которых были скомпрометированы машины крупных компаний, в их числе Apple, Facebook и Microsoft. Отсутствие же исправлений для новой уязвимости позволяет называть её уязвимостью нулевого дня. Частота их обнаружения заставляет высказывать неудовлетворенность безопасностью Java.
По материалам The Next Web и блога Fire Eye
Автор: FakeFactFelis