В Java выявлена еще одна уязвимость

Среда Java стала с начала 2013 года для корпорации Oracle настоящей головной болью: за последние два месяца компания уже пять раз выпускала для нее обновления, каждый раз закрывая критические уязвимости. Однако проблемы в Java, похоже, не завершились. На сей раз в Java была обнаружена уязвимость, связанная с недостаточной верификацией ключей безопасности, позволяющих гарантировать подлинность того или иного сайта или программы.

Эксперты говорят, что в существующих версиях Java можно использовать ряд цифровых сертификатов, которые ранее были отозваны со стороны удостоверяющих центов или имеют просроченную дату использования.

Американское издание ArsTechnica провело собственное расследование данной проблемы и убедилось в ее наличии. Издание сообщает, что им был обнаружен сайт, который размещал вредоносное программное обеспечение, подписанное цифровым сертификатом на имя компании Clearesult Consulting и выписанным хостером GoDaddy. Сам GoDaddy аннулировать подлинность цифрового сертификата еще в декабре прошлого года, однако сертификат в среде Java по-прежнему признается действительным.

Подробное расследование доступно по адресу: http://arstechnica.com/security/2013/03/thanks-oracle-new-java-malware-protection-undone-by-old-school-attack