Появился proof-of-concept для CVE-2022-21449, 0day уязвимости в Java. Уязвимость позволяет обойти проверку SSL сертификата, и выдать любой поддельный сайт за настоящий.

Например, представьте, что ваш софт на Java использует автообновления. Если у злоумышленника получится подменить IP сервера обновлений, несмотря на поддельный SSL сертификат, софт скачает обновления. Пример подмены google.com на видео.

Ссылка на proof-of-concept:

https://github.com/notkmhn/CVE-2022-21449-TLS-PoC

#java #0day #critical #exploit