Серьезная уязвимость в технологии Java
В Java найдена серьезная уязвимость, позволяющая злоумышленнику получить контроль над системой под управлением любой версии ОС Windows при открытии специально оформленной веб-страницы в любом браузере с включенной поддержкой Java.
Проблема заключается в Java Web Start framework, эта технология создана компанией Sun Microsystems для упрощения развертывания Java-приложений. Дело в том, что Java Web Start не проверяет параметры переданные из командной строки, поэтому злоумышленники могут менять эти параметры, используя определенные HTML теги на веб-странице. Таким образом, например, можно подменить библиотеку приложения на свою.
Поскольку Java Web Start включен в Java Runtime Environment, который используется большинством браузеров, уязвимости подвержены все подобные приложения. Наличие проблемы подтверждено только для платформы Windows.
Утверждается, что уязвимость существует в Java Web Start уже несколько лет, но разработчики фреймворка не считают ситуацию настолько серьезной, чтобы выпускать экстренную заплатку.
