Появился proof-of-concept для CVE-2022-21449, 0day уязвимости в Java. Уязвимость позволяет обойти проверку SSL сертификата, и выдать любой поддельный сайт за настоящий.
Например, представьте, что ваш софт на Java использует автообновления. Если у злоумышленника получится подменить IP сервера обновлений, несмотря на поддельный SSL сертификат, софт скачает обновления. Пример подмены google.com на видео.
Ссылка на proof-of-concept:
https://github.com/notkmhn/CVE-2022-21449-TLS-PoC
#java #0day #critical #exploit