Для двох уразливостей в Oracle Java Runtime Environment (RE), виявлених учасником Google Project Zero Матеушем Юрчиком (Mateusz Jurczyk), були випущені неофіційні патчі. Виходу офіційних виправлень від компанії Oracle ще доведеться почекати, пише SecurityLab.

У лютому нинішнього року дослідник виявив в Java RE чотири уразливості, що дозволяють читати дані за межами виділеної пам’яті. Проблеми були виявлені під час тестування шрифтів TrueType і OpenType за допомогою техніки, відомої як фаззінг (автоматичне або напівавтоматичне тестування, коли з додатком передаються на вхід неправильні або випадкові дані). Фахівці Google Project Zero привласнили уразливості кодові ідентифікатори 1779 , 1780 , 1781 і 1782 і охарактеризували їх як “середньої небезпеки”.

Виробник був повідомлений про виявлені проблеми 12 лютого. Однак в Oracle заявили, що описані фахівцями сценарії атак не дозволяють зловмисникам проексплуатувати систему жертви безпосередньо, тому уразливості будуть виправлені тільки в наступних релізах Java. У зв’язку з цим 18 лютого експерти Google Project Zero розкрили подробиці про уразливість широкому загалу.

Команда 0patch компанії ACROS Security випустила власні патчі для двох з вищезгаданих вразливостей, і незабаром має намір випустити виправлення для останніх двох. Патчі можна завантажити абсолютно безкоштовно, але вони працюють тільки на Java 8 update 202.

Наступні оновлення від Oracle повинні вийти 16 квітня. Можливо, вони будуть включати в себе виправлення для описаних вище уразливостей.

До речі, спеціаліст із безпеки Джеймс Лі (James Lee) оприлюднив PoC-коди для двох уразливостей в Microsoft Edge і Internet Explorer, що дозволяють обійти політику єдиного походження (Same Origin Policy, SOP) у браузерах. Рішення про публікацію прийнято після того, як компанія Microsoft проігнорувала звіт про проблему.

Нагадаємо, що Intel попереджає користувачів Windows 10 про небезпеку застарілих графічних драйверів, у яких присутні серйозні уразливості. Корпорація рекомендує: драйвери необхідно оновлювати, встановивши всі патчі, які Intel випустила за минулий рік.

Останнє оновлення для Windows 10 повинно було привнести ряд поліпшень в систему, але насправді подарувало користувачам лише проблеми. Особливо постраждали геймери, до яких Microsoft нещодавно звернулася за допомогою у розвитку системи.

Також у п’яти найпопулярніших менеджерах паролів для Windows 10 – 1Password 7, 1Password 4, Dashlane, KeePass і LastPass – виявили уразливості.

Поточні тести зі зламу паролів показують, що мінімальний восьмизначний пароль, незалежно від складності, може бути зламаний менш ніж за 2,5 години з використанням відповідного апаратного оснащення.

Спеціаліст з безпеки Лінус Хенце (Linus Henze) виявив уразливість в операційній системі Apple macOS, яка надає можливість отримати облікові дані з зв’язки ключів (KeyChain) на комп’ютерах Мас без прав адміністратора або суперкористувача.