В Facebook говорят, что после обнаружения этого Java 0day, они сообщили в Oracle о найденной уязвимости и 1 февраля Oracle выпустили набор исправлений для Java номер 13, 7u13, который закрывал, в том числе, и эту уязвимость.
Подобные атаки получили название «watering hole» или, буквально, «водопой». В такой схеме злоумышленники компрометируют веб-сайт, который посещает большое количество человек. В результате значительно расширяется круг пользователей, которые могут быть уязвимы для набора эксплойтов, с помощью которых на уязвимые компьютеры доставляется вредоносный код.
Вчера агенство Reuters распространила новость о том, что некоторые сотрудники компании Apple подверглись схожей атаке. Вредоносный код на их маки был установлен через веб-сайт, который был скомпрометирован вредоносным содержимым. Для установки вредоносного ПО также использовался набор эксплойтов и уязвимость в Java-плагине для браузеров.
Через некоторое время после этого заявления Apple, Oracle анонсировала выход очередного набора исправлений. Этот набор включает в себя фиксы из предыдущей серии обновлений (от 1 первого февраля), плюс 5 новых исправлений. Таким образом, текущая версия Java — 7u15.
Note:This Critical Patch Update includes all fixes provided in the Oracle Java SE Critical Patch Update February 2013, distributed on February 1, 2013, plus an additional five fixes which had been previously planned for delivery. This distribution therefore completes the content for all originally planned fixes to be included in the Java SE Critical Patch Update for February 2013. Note also that Oracle has scheduled a Java SE Critical Patch Update for April 16, 2013, in addition to those previously scheduled in June and October of 2013 and in January of 2014. This additional distribution will be used to further accelerate Java security fixes to Java users.
Дистрибутив Java 7u15 доступен для скачивания здесь.
be secure.
ссылка на оригинал статьи http://habrahabr.ru/company/eset/blog/170043/
Добавить комментарий