В языке программирования Java обнаружили критические уязвимости: Какую угрозу они представляют?

В приложениях, созданных на языке Java, есть серьезные уязвимости, заложенные в методах получения и воссоздания информации с помощью этого языка. Обнаружили эти уязвимости специалисты по разработке программного обеспечения и безопасности из Университета Умео (UMU) в Швеции. Результаты исследования были опубликованы на официальном сайте университета.

Java, используемый более чем 30% разработчиков по всему миру, используется в широком спектре приложений — от видеоигр и потокового видео на Spotify и Netflix до программ для исследования космоса, банковских транзакций и государственных систем.

Специалисты проанализировали Java-продукты, в которых используется десериализация — процесс восстановления структуры данных из закодированного состояния. Этот процесс широко применяется в обеспечении работы пользовательских настроек, различных игровых функций, корзин покупок в интернет-магазинах, банковских онлайн-переводах и во многих других сферах.

Как оказалось, в процессе десериализации в Java злоумышленники могут получить полный контроль над системой за счет небольших и часто встречающихся ошибок в коде.

Эти уязвимости уже использовались хакерами для взлома транспортного департамента Сан-Франциско, блокировки платежных терминалов и кражи более 147 миллионов файлов с личными данными из Equifax, крупнейшего агентства по кредитным отчетам в США.

Специалисты отмечают, что в настоящее время нет простого способа устранения этих уязвимостей, так как многие Java-приложения зависят от внешних библиотек данных. Единственным эффективным методом обеспечения безопасности является отказ от использования десериализации при разработке приложений на Java.