Nowa Java i nowe błędy

Tydzień temu koncern Oracle udostępnił nową wersję Javy - wydanie Java 7 Update 15. Kilka dni wystarczyło, by specjaliści z polskiej firmy Security Explorations znaleźli dwa poważne błędy w zabezpieczeniach tego oprogramowania, umożliwiające skuteczne zaatakowanie komputera.

Security Explorations to firma, która już wcześniej zasłynęła seryjnym znajdowaniu luk w Javie - nic więc dziwnego, że jej pracownicy postanowili przyjrzeć się również najnowszej wersji. Pierwszy wnioski nie napawają optymizmem, bo w ciągu niespełna tygodnia od premiery udało się znaleźć dwa błędy, które wykorzystane wspólnie umożliwiają ominięcie "piaskownicy" (sandboksa) zastosowanej w Javie SE 7 Update 15. Luki występują we wtyczce Javy do przeglądarek internetowych.

Dodajmy, że aktualizacja dla Javy udostępniona przez Oracle 19 lutego zawiera poprawki opublikowane przez firmę na początku miesiąca oraz pięć dodatkowych łatek, usuwających błędy wykryte później. Co ciekawe, nowe luki znalezione przez Security Explorations, występują tylko w najnowszym wydaniu Javy - w wersji 6 (której Oracle już nie aktualizuje) ich nie ma.

Zobacz również:

  • Python na szczycie indeksu języków Tiobe

Java od dobrych kilku lat pozostaje jednym z najczęściej atakowanych przez przestępców programów - ponieważ jest niezmiernie popularna i pełna błędów, które Oracle co prawda stara się na bieżąco usuwać, ale jak widać nie wychodzi to koncernowi za dobrze. Szczególnie niepokojące jest regularne ujawnianie luk typu "zero-day", czyli takich, które zaczynają być wykorzystywane przez przestępców zanim producent udostępni stosowną aktualizację.

Ostatnio o błędach w Javie znów zrobiło się głośno, gdy na jaw wyszło, że to właśnie luki w tym oprogramowaniu posłużyły przestępcom do skutecznego zaatakowania pracowników kilku największych światowych firm technologicznych - m.in. Facebooka, Apple czy Microsoftu. Dziś już wiadomo, że ataki przeprowadzono wykorzystując popularne wśród developerów aplikacji dla iOS forum iPhoneDevSDK - ktoś zdołał osadzić na nim exploita, automatycznie infekującego komputery internautów poprzez dziury w Javie.

"Byliśmy szczerze zaskoczeni, że tak wiele firm z branży padło ofiarą ataku wykorzystującego luki w Javie. Wydaje się, że w Dolinie Krzemowej nikt nie słuchał naszych ostrzeżeń dotyczących problemów z bezpieczeństwem tego oprogramowania" - skomentował Adam Gowdiak, założyciel i szef Security Explorations.

Firma na razie nie ujawnia pełnych informacji na temat luk - komplet danych (w tym m.in. w pełni funkcjonalny exploit) został przekazany specjalistom z Oracle. "Teraz piłka jest po ich stronie. Po raz kolejny" - skomentował Gowdiak.

Najnowsze odkrycie Security Explorations po raz kolejny zmotywowało specjalistów ds. bezpieczeństwa do zasugerowania użytkownikom, żeby zastanowili się, czy w ogóle potrzebują Javy. "Wiele osób ma zainstalowaną Javę, choć tak naprawdę wcale z niej nie korzysta. Sprawdźcie, czy jest wam potrzebna - i jeśli zorientujecie się, że jej nie potrzebujecie, to ją wyłączcie lub usuńcie" - stwierdził Graham Cluley, konsultant z firmy Sophos.

Więcej informacji o problemie można znaleźć na stronie Security Explorations.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200