Oracle закрыла уязвимость в установщике Java

10 февраля 2016

Несколько дней назад компанией Oracle была опубликована рекомендация по удалению с ПК всех установщиков Java и дальнейшему использованию версий 6u113, 7u97, 8u73 или более новых. Это связано с тем, что старыми версиями производится автоматическое скачивание ряда файлов DLL. Установщик загружается из интернета обычно в папку «Загрузки».


В том случае, если злоумышленнику удастся разместить в данной папке вредоносный файл DLL, его выполнение произойдет во время попытки установить Java. И хотя создать эксплоит, используя эту уязвимость, является довольно трудной задачей, однако сумевшим это позволит завладеть полным доступом к системе. Жертвами этой техники, названной Binary Planting, за последние годы стали многие установщики различных приложений.

У некоторых браузеров в настройках установлено по умолчанию автоматическое скачивание файлов. Помимо этого, важно помнить, что в самих браузерах можно очистить только историю скачивания, а удаление файлов должно производиться непосредственно и папки, куда произведена закачка.

Поделиться: