Oracle łata Javę, polscy specjaliści… znajdują dziurę w poprawce
- Antoni Steliński,
- 03.09.2012, godz. 12:12
Eksperci z polskiej firmy Security Explorations znaleźli poważną lukę w poprawce dla Java 7, którą koncern Oracle udostępnił w miniony czwartek. Z ich analiz wynika, że ów błąd można wykorzystać do ominięcia zabezpieczeń i uruchomienia w systemie złośliwego kodu.
Polecamy:
Warto dodać, że poprawka, w której znaleziono błąd, została udostępniona "awaryjnie", poza standardowym, kwartalnym cyklem łatania Javy - była to reakcja Oracle'a na doniesienia o nowym błędzie zero-day, który zaczął być wykorzystywany przez przestępców do atakowania internautów. Aktualizacja usuwała w sumie trzy błędy - oprócz wspomnianego powyżej był wśród nich również problem scharakteryzowany przez Oracle jako poważne zagrożenie bezpieczeństwa, którego jednak nie można bezpośrednio wykorzystać do atakowania użytkowników. I to właśnie poprawka usuwająca ten problem okazała się wadliwa - co prawda usunęła jedno zagrożenie, ale przy okazji wygenerowała zupełnie nowe.
Zobacz również:
- Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
- VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
Adam Gowdiak poinformował przy okazji, że Security Explorations już w kwietniu br. zgłosili do Oracle 29 różnych luk w Javie - wśród nich znajdowały się również te dwa błędy, które koncern musiał awaryjnie łatać w ubiegłym tygodniu. Przedstawiciel polskiej firmy dodał również, że tymczasowym zabezpieczeniem przed atakiem może być usunięcie z implementacji klasy sun.awt.SunToolkit w Java 7 Update 7 metod getField oraz getMethod - przy czym pamiętać należy, że ta operacja nie usuwa błędów, a jedynie dezaktywuje podatny na atak moduł.
"Gdy stwierdziliśmy, że znaleziona przez nas metoda obejścia zastosowanego w Javie sandboksa została zablokowana przez czwartkową poprawkę, zaczęliśmy szukać nowej metody ominięcia zabezpieczeń. Pojawił się pewien pomysł... który po zweryfikowaniu okazał się skuteczny" - tłumaczy Adam Gowdiak.
Na razie nie wiadomo, czy i kiedy Oracle zamierza rozwiązać ten problem - firma nie komentuje doniesień o nowej luce w Javie. Dlatego też szef Security Explorations sugeruje użytkownikom, którym Java nie jest niezbędna do codziennej pracy, by po prostu odinstalowali to oprogramowanie z systemu (tym bardziej, że luki w Javie od lat są ulubionym celem cyberprzestępców).