Previdno z Javo (spet)

Vse, kaže, da imamo pred sabo ponovitev lanske situacije - zanesljiv, ponovljiv, avtomatiziran 0-day exploitable napad zoper zadnjo različico Oraclove Jave - takega, ki omogoča prevzem nadzora nad uporabnikovim računalnikom že z obiskom okužene spletne strani, brez vprašanj za ali vedenja od uporabnika - ter seveda šlampast odziv Oracla, ki naj bi za napako vedel že od pomladi, vendar je še zdaj ni uredil.

Exploit izkorišča napako v izvedbi peskovnika (sandbox) za javanske applete, tj. svojčas še kar popularen način za pisanje interaktivnih spletnih aplikacij, ki sta ga do danes skoraj v celoti zamenjala najprej Flash in zdaj HTML5. Takšnale koda s pomočjo Reflectiona in slabo spisanega internega razreda sun.awt.SunToolkit preprosto izklopi brskalniški security manager, nakar se lahko mirno izvaja kot vsaka namizna aplikacija, z vsemi pravicami, ki jih pač ima trenutni uporabnik (ne nujno administracijskimi, sicer). Omenjena napaka je prisotna v vseh namestitvah Jave 7 (v starejših bojda ne), tudi če ima uporabnik nameščene zadnje popravke. Še huje, minulo nedeljo je bilo potrjeno, da obstaja aktivni exploit, ki je tudi že našel svojo pot v komercialni toolkit BlackHole, pomenujoč, da je na voljo vladam in profesionalnim tatovom za široko uporabo. Do srede so našli že več ducat spletnih strani, namenjenih izkoriščanju te napake, ter nameščanju trojanca PoisonIvy.

Pa Oracle? Poljski varnostni raziskovalci Security Explorations pravijo, da so jim omenjeno napako, skupaj še z 17 drugimi, prijavili že v začetku letošnjega aprila. Časa za popravek je tako bilo več kot dovolj, sploh glede na resnost stvari. A Oracle očitno ni trznil, vsaj ne, dokler ni zgodba prišla v širše medije. V petek so tako izdali zasilni popravek (redni prihajajo vsak poltretji mesec, naslednji šele oktobra), vendar ta po poročilih Poljakov pač problema ne rešuje v celoti. Kodo exploita je sicer treba nekoliko spremeniti, vendar potem še vedno deluje.

Čakanje in negotovost se tako nadaljujeta. Več varnostnih strokovnjakov je zato že pozvalo k odstranitvi Jave s sistema, če ni ravno nujno potrebna. Stališču se pridružuje tudi Mozilla.

Pri tem je treba povedati, da napake se in se vedno bodo godile; kar zares skrbi, je to, da Oracle tako počasi reagira na njih. Vest o tej konkretno luknji so zasebno (ti. white hat pristop) dobili že aprila, kar bi jim moralo dati dovolj časa, da jo zakrpajo. Ker tega niso bili pripravljeni storiti, se je varnostna skupnost odločila za polno javno objavo (full disclosura, aka. grey oz. black hat pristop), skupaj s podrobnostmi in primeri v delujoči java kodi. Morda se zdi, da to samo še pomaga pri širjenju zlorab, vendar je to pač edini način, da se stvari premaknejo v pravo smer. Alternativno bi skupnost sicer lahko molčala, vendar bi potem za napako vedeli samo zlikovci, uporabniki pa ne.