Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Библиотеки Java могут использовать для созданий уязвимостей в устройстве

25/08/22

Java-1

Специалисты из университетов Франции, Германии, Люксембурга и Швеции изучили известные уязвимости десериализации Java и пришли к выводу, что библиотеки могут создать опасные недостатки в системе безопасности.

Сериализация используется для преобразования объекта данных в памяти в серию байтов для хранения или передачи. Десериализация превращает поток данных обратно в объект в памяти.

Согласно статье, злоумышленник может создать поток байтов, который при десериализации на удаленном узле сможет управлять потоком выполнения кода Java, связывая последовательности кода (гаджеты). Библиотека может содержать гаджеты, которые можно объединять в цепочки, чтобы они работали последовательно. Использование уязвимости десериализации включает в себя сложную цепочку атак или может быть таким же простым, как выполнения GET-запроса по сети.

При анализе 19 RCE-уязвимостей десериализации специалисты определили несколько способов внедрения гаджета в библиотеку: добавление классов, методов и интерфейсов или изменение сигнатуры методов. Главный вывод ученых заключается в том, что модификация одной детали в классе, например, обнародование, уже может представить гаджет.

При изучении патчей уязвимых библиотек эксперты заметили, что время удаления гаджетов составляет в среднем почти 6 лет. Это значит, что уровень угрозы уязвимостей десериализации недооценен и не привлекает должного внимания специалистов.

Темы:Javaуниверситетские исследованияуниверситеты
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...