Previdno z Javo

Mandi

3. dec 2011 ob 11:08:24

Enkrat jeseni se je na črnem trgu začelo trgovanje s posebej zahrbtno varnostno pomanjkljivostjo v namizni javi (J2SE), ki je očitno prisotna že dolga dolga leta, saj deluje na vseh glavnih izdajah platforme (7.0, 6.0, 5.0 in celo 1.x) in na vseh treh platformah (Linux, Mac OS X, Windows). Luknja omogoča zagon poljubnega sistemskega programa že z obiskom okužene spletne strani in to brez vsakršne potrditve s strani uporabnika. Prisotna je v večini popularnih exploit kitih, npr. Blackhole ($4000 za licenco + $200 mesečni najem prednameščenega strežnika), SEO Sploit Pack in od minulega tedna tudi v odprtokodnem Metasploitu (glej filmček za demonstracijo).

Varnostni raziskovalec Brian Krebs ob tem poudarja, da so pomanjkljivosti v Javi oz. Java Pluginu / Quickstarterju odgovorne že za tretjino do polovico oddaljenih napadov - pravzaprav so že krepko prehitele Adobe Flash/PDF in Microsoft Office med vektorji za dostavo malware-a. Ta konkretni exploit je označil kar za "darilo izdelovalcem exploit kitov" in uporabnike pozval, naj Javo, če je to le mogoče, odstranijo s svojega sistema oz. jo imajo nameščeno le v ločenem brskalniku za tistih par strani, ki jo res potrebujejo.

Oracle je popravek izdal že sredi oktobra, s presenetljivo malo podatki o naravi pomanjkljivosti. Problem je, da ga večina uporabnikov preprosto še ni namestila in zato ostaja izpostavljena okužbi zgolj s klikom na spretno skrajšan url na twitterju / facebooku ali v e-mailu. Iz tega razloga ima Google že poldrugo leto posebno distribucijsko pogodbo z Adobe: Flash pride prednameščen s Chromom, posodobitve pa se nameščajo samodejno ob zagonu brskalnika. Tako so uspeli znatno zmanjšati število računalnikov s staro in ranljivo različico vtičnika. Verjetno bo minilo še kar nekaj časa, preden se bo Oracle uspel domeniti za kaj podobnega, saj so trenutno močno skregani z Googlom okoli Dalvika (javanski navidezni stroj v Androidu), s kupom robatih potez okoli podedovanih odprtokodnih projektov SunOS, MySQL ali OpenOffice.org pa niso najbolje zapisani tudi pri Mozilli.

Tukaj lahko preverite, če in katero različico Jave imate, ter ali potrebujete popravek.