В Oracle JVM обнаружено 22 уязвимости

В Oracle JVM обнаружено 22 уязвимости

Эксплуатация брешей позволяет злоумышленнику повысить привилегии на системе жертвы, а также выполнить произвольный Java-код на уязвимых серверах Oracle Database.

ИБ-экспертам из польской компании Security Explorations удалось обнаружить в Oracle JVM 22 уязвимости. На обнаружение брешей у специалистов ушло порядка четырех месяцев.

Адам Говдяк (Adam Gowdiak) отметил изданию SecurityWeek, что Oracle подтвердила наличие только шести уязвимостей. В компании подчеркнули, что бреши уже исправлены, а обновления станут доступны в рамках предстоящего апдейта Critical Patch Update. Остальные уязвимости пока изучают и исправляют.

Эксплуатация брешей позволяет злоумышленнику повысить привилегии на системе жертвы, а также выполнить произвольный Java-код на уязвимых серверах Oracle Database. Это, в свою очередь, может открыть доступ к важному программному обеспечению. Правда, в Oracle отмечают защищенность ПО, взлом которого якобы не осуществлялся уже несколько десятилетий.

Уязвимости существуют из-за брешей в Java Reflection API, обусловивших ряд инцидентов безопасности в Java SE в 2012-2013 гг.

«Прошло почти два года с тех пор, как стало известно о брешах в Java Reflection API, - отметил Говдяк. – Однако некоторые “отголоски” этих проблем все еще присутствуют в продуктах Oracle, и не только в Java SE».

Известно, что уязвимыми являются Oracle Database 11g релиз 2 (11.2.0.1.0) для Microsoft Windows x64, Oracle Database 11g релиз 2 (11.2.0.4.5) Patch Bundle 18590877 для Microsoft Windows x64, Oracle Database 12c релиз 1 (12.1.0.1.0) для Microsoft Windows x64 и Oracle Database 12c релиз 1 (12.1.0.1.9) Bundle Patch 18724015 для Microsoft Windows x64.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь