Критической Java-уязвимости в Mac OS X исполнилось 9 месяцев!

Полгода назад компания Sun Microsystems устранила уязвимость безопасности платфомы Java, обнаруженную в комплекте разработчика OpenJDK, в интерпретаторе GIJ, в пакете icedtea и в исполняющей среде Sun JRE. Все эти продукты были обновлены, ошибка в них исправлена, и лишь одна программная реализация языка Java осталась открытой для атак – Apple Java.

Впервые об этой уязвимости стало известно в августе прошлого года. К настоящему моменту большинство операционных систем, использующих Sun JRE или любую из перечисленных реализаций Java, обновлены, но ошибка в Apple Java не была исправлена даже в обновлении Mac OS X 10.5.7, которое было выпущено на прошлой неделе. Это означает, что операционная система осталась открытой для атак при помощи универсального эксплоита.

"Тот факт, что уязвимость имеет отношение исключительно к реализации языка Java, означает возможность создания стопроцентно надежного эксплоита, который будет работать на любой платформе, на любой архитектуре, для любого браузера, – сообщает в своем блоге сотрудник компании Google Жюльен Тинне (Julien Tinnes). – Я запускал свой образец на Firefox, на Internet Explorer версий 6,7 и 8, на Safari, на платфомах Mac OS X, Windows, Linux и OpenBSD – и везде он работал. Вот что можно назвать идеальным примером уязвимости клиентского приложения".

Пользователям Mac OS X рекомендуется отключить в браузерах поддержку Java, а всем остальным – убедиться в том, что их компоненты Java обновлены. Впрочем, для любой операционной системы Java в браузере представляет собой известную опасность, поскольку во всех этих продуктах присутствует множество других уязвимостей безопасности. Даже если не принимать их во внимание, плагин Java открывает доступ к памяти для чтения, записи и выполнения, а потому апплет на этом языке можно использовать для преодоления ограничений на эти операции.

Компанию Apple часто критикуют за то, что известные ошибки в ее операционной системе исправляются далеко не сразу. История Mac OS X наполнена примерами, когда производитель выпускал устаревшие программные компоненты с открытым кодом, оставляя системы своих пользователей открытыми для атак. Более того, теперь, когда Microsoft выпустила обновление для Windows-версий редактора презентаций PowerPoint, обнародовав, таким образом, содержавшиеся в нем уязвимости, версия PowerPoint для Mac OS X представляет собой дополнительную угрозу для компьютеров Mac.