Сегодня 17.10.2012 Oracle выпустила очередной апдейт Java VM где были пофиксены очередные проблемы безопасности Java. После не долго анализа исходного кода было найдено несколько из них и на быструю руку был написан эксплоит для одной из них. Целью данной статьи стало то, что в русском сегменте сети практически не освещаются технические подробности связанные с безопасностью в Java. Моя цель привлечь больше российских специалистов для решение данной проблемы и помочь людям заинтересованным в изучении этой темы.
В последнее время безопасность в Java VM обсуждается и критикуется всеми крупными ИТ специалистами в области информационной безопасность. Механизмы безопасности в Java построены так, что при неправильном их использование они дают возможность злоумышленнику получить доступ к конфиденциальным данным жертвы или установить вирусное программное обеспечение. Java — это лакомый кусок злоумышленников т.к. по статистике riastat на текущий момент Java VM установлена более чем на 1 биллионе клиентских машин. И к сожалению в последнее время уязвимостей в Java находят все больше и чаще.
Сегодня мы поговорим об одном и механизмов безопасности в Java, о так называемой песочнице. А так же рассмотрим на свежем примере примере CVE-2012-5075 как работает песочница и почему при неправильном использовании механизмов песочницы Java появляются уязвимости.Читать полностью »