Szansa dla zaawansowanych hakerów

Odkryto poważny błąd w systemie zabezpieczeń języka Java

Odkryto poważny błąd w systemie zabezpieczeń języka Java

Specjaliści z Uniwersytetu w Princeton odkryli błąd, który może znacznie ułatwić hakerom uzyskanie dostępu do komputera dołączonego do Internetu. Według pracowników uniwersytetu, wykorzystanie błędu umożliwi wykonywanie typowych operacji na komputerze PC, takich jak: odczytywanie i przesyłanie plików przez Internet, kasowanie oraz zmiana danych, a nawet formatowanie dysku twardego. Zagrożeni są ci użytkownicy komputerów biurkowych, którzy do nawigowania po Internecie wykorzystują przeglądarkę Navigator produkcji Netscape Communications.

Szansa dla wytrwałych

Przedstawiciele Sun Microsystems poinformowali, że błąd jest raczej związany z wykorzystaniem języka w konkretnym produkcie, a nie dotyczy samej konstrukcji Javy. Kiedy użytkownik wgrywa do swojego komputera instrukcje z Internetu, weryfikator kodu pośredniego przeprowadza kontrolę, czy dany applet Javy realizuje te funkcje, o których wykonywaniu informuje. Weryfikator kodu pośredniego ocenia także, czy sprzęt umożliwi appletowi uzyskanie dostępu do funkcji, które ten ma zamiar realizować. Zazwyczaj system jest w stanie sam wykryć czy applet zawiera ukryty, niebezpieczny kod. Tymczasem specjalistom z Princeton udało się przepuścić takie właśnie groźne applety przez weryfikator. W ten sam sposób hakerzy mogą uzyskać dostęp do tych funkcji komputera, które są zarezerwowane dla użytkownika.

Według przedstawicieli Suna, przeprowadzony w ten sposób atak na komputer nie jest zadaniem prostym. Wymaga realizacji trzystopniowego procesu. Haker musi oszukać weryfikator kodu pośredniego, nadać wrogiemu appletowi odpowiednie możliwości wewnątrz weryfikatora. Na końcu musi jeszcze napisać odpowiedni kod realizujący funkcje odpowiadające zamierzeniom hakera.

Łata na Javę

Dotychczas nie wiadomo o żadnej próbie przeprowadzenia ataku wykorzystującego odkryty błąd. Sun zajął się już opracowaniem rozwiązania, które miałoby uniemożliwić złamanie zabezpieczenia Javy. Obecnie zajmują się jego testowaniem. Wkrótce poprawka zostanie udostępniona w serwerze Web JavaSoft Suna pod adresemhttp://www.java.sun.com oraz firmie Netscape, tak aby mogła ona je wbudować do przeglądarki Navigatora.

Wielu specjalistów uważa, iż w tak złożonym produkcie jak Java istnieje duże prawdopodobieństwo wystąpienia błędu. Według pracowników Uniwersytetu Princeton, którzy będą nadal poszukiwać błędów w Javie, system zabezpieczeń internetowego języka programowania został już sprawdzony.