Java frissítés kritikus hibákra
A Oracle kiadta a negyedéves frissítését, amiben 174 termékében 401 darab CVE számmal nyilvántartott hibát javított a gyártó. Egy hiba viszont kiemelt figyelmet kapott.
A hivatalosan CVE-2022-21449 számot kapta a sérülékenység, de viccesen Psychic Signatures in Java – hibának nevezte el Neil Madden kutató, aki feltárta. A kutató már 2021 novemberében bejelentette az Oracle-nek, azonban a javítás csak most érkezett meg. A CVSS pontszáma 7,5, lett bár Madden vitatja, mert alacsonynak tartja. Khaled Nassar kutató kiadott egy proof-of-concept (PoC) kódot az új digitális aláírás megkerülő sebezhetőségéhez. Így a sérülékenység kihasználható a Java termékek sokaságán, kiemelten érinti az Elliptic Curve Digital Signature Algorithm aláírásokkal használó termékeket, mint a Java 15, 16 17, 18 verziók. A támadók könnyen és teljesen megkerülhetik azokat az aláírásokat, amit ezek a termékek használnak.