Krebs On Security - V četrtek pozno zvečer so mednarodni centri za posredovanje pri omrežni incidentih (CERT) na spletu objavili opozorilo, da Java vsebuje nerazkrito in nezakrpano ranljivost (0-day). Na spletu že obstajajo orodja, ki omenjeno ranljivost izkoriščajo, zato so do razrešitve situacije priporočili odstranitev ali onemogočitev Jave v brskalnikih. Ameriški CERT redno objavlja podobna opozorila, a je redko tako neposreden, da priporoči odstranitev programa.
V Javi 7 Update 10 in vseh prejšnjih verzijah je namreč luknja, ki napadalcu omogoča izvedbo poljubne kode na oddaljenem računalniku, s čimer lahko prevzame nadzor nad njim. Ranljivost je prisotna v Oraclovem Java Runtime Environmentu 1.7 (JRE), ki je nameščen na mnogo računalnikih, saj omogoča izhod iz peskovnika v Java appletih na spletu. Najpogostejši vektor napada je obisk posebej pripravljene spletne strani, ki zažene zlonamerno javansko kodo, ki omogoči izrabo ranljivosti. Posebej problematična je razširjenost, saj na spletu obstojijo tako predpripravljeni paketi za sistematično izkoriščanje ranljivosti (exploit kits) kakor tudi izvorna koda za izrabo ranljivosti.
Dokler Oracle ne izda popravka, je edina rešitev onemogočitev ali odstranitev Jave. Odzvali so se že proizvajalci brskalnikov. Mozilla je vtičnik za Javo v Firefoxu že uvrstila na seznam blokiranih vtičnikov (s sistemom click-to-play, ki so ga predstavili novembra), podobno je storil tudi Apple.
Oracle, od katerega popravek še čakamo, pa ni brez masla na glavi. Izkazalo se je, da bi bili lahko luknjo zakrpali že oktobra. Če bi tedaj Oracle zakrpal neko drugo starejšo ranljivost (Reflection API, Issue 32), kot se spodobi, bi hkrati onemogočil tudi najnovejšo. Toda oktobra so avgustovsko luknjo popravili površno, zato je danes izbruhnila nova. In ta se danes uporablja tudi za izsiljevanje. Gre za zlonamerne programe (ransomware), ki izkoristijo ranljivosti za namestitev na sistem in ga potem zašifrirajo. Za odklep podatkov od uporabnika terjajo plačilo nekega zneska.
Novice » Varnost » Kritična ranljivost v Javi posledica Oraclove površnosti
enadvatri ::
Še dobro, da večina sodnih aplikacij teče tako ali drugače v Javi (kot debeli odjemalec in v brskalniku). Izklopiti pa je zato ne morejo.
RejZoR ::
Sam imam Javo samo zaradi Minecrafta. Drugače je sploh ne bi imel naložene...
Angry Sheep Blog @ www.rejzor.com
enadvatri ::
Mavrik ::
Še dobro, da večina sodnih aplikacij teče tako ali drugače v Javi (kot debeli odjemalec in v brskalniku). Izklopiti pa je zato ne morejo.
Saj veš, da se ta exploit dotika samo appletov a ne?
The truth is rarely pure and never simple.
Unknown_001 ::
enadvatri ::
Marat ::
b3D_950 ::
A to dela samo na XPjih?
edit: dela na vsem.
edit: dela na vsem.
Zdaj ko je mir, jemo samo krompir.
Zgodovina sprememb…
- spremenil: b3D_950 ()
M.B. ::
Saj veš, da se ta exploit dotika samo appletov a ne?
A pol ne vpliva na strani narejene s Play frameworkom (2.0)?
Play framework je serverside framework. In s clientom nima veze.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Sadly only a handful ever progress past that point.
...:TOMI:... ::
Arnesov speedtest temelji na javi, sedaj pa priporočajo odstranitev jave. Dali so si avtogol.
Tomi
Grumf ::
Nimam nameščene jave. Če program potrebuje JRE, takega programa ne rabim. (enako kot je včasih veljalo
za vbrun*.dll , ista jajca). Določene stvari je pač treba bojkotirati, da lahko mirno spiš...
za vbrun*.dll , ista jajca). Določene stvari je pač treba bojkotirati, da lahko mirno spiš...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
experience of others, are also remarkable for their apparent disinclination
to do so.
Zgodovina sprememb…
- spremenil: Grumf ()
MrStein ::
Že nekaj časa sem izklopil JAva plugin v vseh browserjih in pustil le v Chrome, ki vpraša pred vsakim zagonom Jave na strani.
(če sem prav razumel tudi Firefox to po novem dela).
Je pa zelo zajebano izklopiti Javo v IE (hvala, MS!).
(če sem prav razumel tudi Firefox to po novem dela).
Je pa zelo zajebano izklopiti Javo v IE (hvala, MS!).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Nimam nameščene jave. Če program potrebuje JRE, takega programa ne rabim. (enako kot je včasih veljalo
za vbrun*.dll , ista jajca). Določene stvari je pač treba bojkotirati, da lahko mirno spiš...
Ranljivost ni v Javi, ki že tako ima dostop do sistema, ampak v java appletih ki načeloma ne smejo imeti dostopa in ga z izkoriščanjem te ranljivosti prodobijo.
Grumf ::
techfreak :) je izjavil:
Ranljivost ni v Javi, ki že tako ima dostop do sistema, ampak v java appletih ki načeloma ne smejo imeti dostopa in ga z izkoriščanjem te ranljivosti prodobijo.
Ranljivost je v nameščeni javi, java apleti nimajo nič s tem (razen da jih uporabiš da luknjo iskoristiš).
Bottom line, no java no problems.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.
experience of others, are also remarkable for their apparent disinclination
to do so.
RejZoR ::
Včeraj sem Security slider v nastavitvah Jave potegnil povsem do vrha in odstranil kljukico za integracijo v browser. Minecraft še vedno deluje brez težav, drugje pa ne bi smela delovat. Za ostali lockdown sistema pa trenutno skrbi CIS 6 nastavljen na Limited.
Angry Sheep Blog @ www.rejzor.com
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Microsoft svari pred novim WannaCryjemOddelek: Novice / Varnost | 4837 (3198) | MrStein |
» | Oracle opušča Java PluginOddelek: Novice / Brskalniki | 22494 (19797) | andromedar |
» | Kritična ranljivost v Javi posledica Oraclove površnostiOddelek: Novice / Varnost | 9336 (6774) | b3D_950 |
» | Previdno z Javo (spet) (strani: 1 2 )Oddelek: Novice / Varnost | 26801 (23478) | Grumf |
» | Študija varnosti brskalnikov: prvi Chrome, drugi IE, Firefox daleč zadaj (strani: 1 2 )Oddelek: Novice / Brskalniki | 21666 (16568) | mikko |