09/04/19
Для двух уязвимостей в Oracle Java Runtime Environment (RE), обнаруженных участником Google Project Zero Матеушем Юрчиком (Mateusz Jurczyk), были выпущены неофициальные патчи. Выхода официальных исправлений от компании Oracle еще придется подождать.
В феврале нынешнего года исследователь обнаружил в Java RE четыре уязвимости, позволяющие читать данные за пределами выделенной памяти. Проблемы были выявлены в ходе тестирования шрифтов TrueType и OpenType с помощью техники, известной как фаззинг (автоматическое или полуавтоматическое тестирование, когда приложению передаются на вход неправильные или случайные данные). Специалисты Google Project Zero присвоили уязвимостям кодовые идентификаторы 1779 , 1780 , 1781 и 1782 и охарактеризовали как «средней опасности».
Производитель был уведомлен об обнаруженных проблемах 12 февраля. Однако в Oracle заявили, что описанные специалистами сценарии атак не позволяют злоумышленникам проэксплуатировать систему жертвы напрямую, поэтому уязвимости будут исправлены только в следующих релизах Java. В связи с этим 18 февраля экперты Google Project Zero раскрыли подробности об уязвимостях широкой общественности.
Команда 0patch компании ACROS Security выпустила собственные патчи для двух из вышеупомянутых уязвимостей, и в скором времени намерена выпустить исправления для оставшихся двух. Патчи можно загрузить совершенно бесплатно, но они работают только на Java 8 update 202.
Следующие обновления от Oracle должны выйти 16 апреля. Возможно, они будут включать в себя исправления для описанных выше уязвимостей.
