Nowy exploit “zero-day" w Javie - czas ją wyłączyć?
- Antoni Steliński,
- 29.11.2012, godz. 11:11
Na forach wykorzystywanych przez internetowych przestępców oraz autorów złośliwego oprogramowania pojawiły się oferty sprzedaży exploita wykorzystującego nową lukę w zabezpieczeniach Javy. To kolejny w ostatnim czasie poważny błąd w tym oprogramowaniu, dlatego specjaliści ds. bezpieczeństwa sugerują, by ograniczyć korzystanie z Javy.
O pojawieniu się nowej metody ataku na Javę poinformował we wtorek znany specjalista ds. bezpieczeństwa, Brian Krebs. Regularnie odwiedza on przestępcze fora - tym razem znalazł na nich exploita umożliwiającego skuteczne zaatakowanie w pełni uaktualnionej Javy JRE 7 Update 9. Z opisu wynika, że jest on skuteczny w przypadku Firefoksa oraz MS IE w systemie Windows 7 (a prawdopodobnie również w poprzednich wersjach). Dokładnej ceny nie podano - wiadomo jednak, że jest ona pięciocyfrowa i liczona w USD.
Zobacz również:
- Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
- Luka w zabezpieczeniach WordPress
- Niebotyczne ceny eksploitów zero-day
Dodajmy, że nowy błąd typu zero-day oraz exploit wykryte zostały zaledwie kilkanaście tygodni po ujawnieniu bardzo podobnych (i równie poważnych) błędów w Javie 7. Zdaniem specjalistów ds. bezpieczeństwa, jest to kolejny dowód na to, że firma odpowiedzialna za rozwijanie Javy - czyli Oracle - niespecjalnie się przykłada do zabezpieczenia tego oprogramowania.
To czyni Javę idealnym celem ataków - tym bardziej, że oprogramowanie to jest obecne na co najmniej 3 mld urządzeń na całym świecie. Dodatkowym problemem jest fakt, że wielu użytkowników go nie aktualizuje (z szacunków firmy Rapid7 wynika, że ok. 65% wszystkich zainstalowanych kopii Javy nie jest zaktualizowane do najnowszej werji).
"Wiele osób nawet nie wie, że w ich komputerach jest Java i że powinni instalować poprawki. Problem z bezpieczeństwem Javy jest poważny, a koncern Oracle jeszcze go potęguje - choćby dlatego, że nie współpracuje z specjalistami w celu wzmocnienia zabezpieczeń. Gdyby firma wreszcie się na poważnie za to zabrała, wszyscy byśmy na tym skorzystali" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle.
Zdaniem większości specjalistów najrozsądniejszym sposobem zabezpieczenia się przed atakiem przeprowadzanym przez luki w tym oprogramowaniu jest obecnie wyłączenie Javy w przeglądarce i włączanie jej tylko na czas potrzebny do uruchomienia zaufanych aplikacji. Gorącym orędownikiem takiego rozwiązania jest m.in. Brian Krebs.
Więcej informacji o exploicie znaleźć można w blogu Krebs on Security.