» »

Kritična ranljivost v Javi posledica Oraclove površnosti

Kritična ranljivost v Javi posledica Oraclove površnosti

Demonstracija ranljivosti z oddaljenim zagonom Računala

Krebs On Security - V četrtek pozno zvečer so mednarodni centri za posredovanje pri omrežni incidentih (CERT) na spletu objavili opozorilo, da Java vsebuje nerazkrito in nezakrpano ranljivost (0-day). Na spletu že obstajajo orodja, ki omenjeno ranljivost izkoriščajo, zato so do razrešitve situacije priporočili odstranitev ali onemogočitev Jave v brskalnikih. Ameriški CERT redno objavlja podobna opozorila, a je redko tako neposreden, da priporoči odstranitev programa.

V Javi 7 Update 10 in vseh prejšnjih verzijah je namreč luknja, ki napadalcu omogoča izvedbo poljubne kode na oddaljenem računalniku, s čimer lahko prevzame nadzor nad njim. Ranljivost je prisotna v Oraclovem Java Runtime Environmentu 1.7 (JRE), ki je nameščen na mnogo računalnikih, saj omogoča izhod iz peskovnika v Java appletih na spletu. Najpogostejši vektor napada je obisk posebej pripravljene spletne strani, ki zažene zlonamerno javansko kodo, ki omogoči izrabo ranljivosti. Posebej problematična je razširjenost, saj na spletu obstojijo tako predpripravljeni paketi za sistematično izkoriščanje ranljivosti (exploit kits) kakor tudi izvorna koda za izrabo ranljivosti.

Dokler Oracle ne izda popravka, je edina rešitev onemogočitev ali odstranitev Jave. Odzvali so se že proizvajalci brskalnikov. Mozilla je vtičnik za Javo v Firefoxu že uvrstila na seznam blokiranih vtičnikov (s sistemom click-to-play, ki so ga predstavili novembra), podobno je storil tudi Apple.

Oracle, od katerega popravek še čakamo, pa ni brez masla na glavi. Izkazalo se je, da bi bili lahko luknjo zakrpali že oktobra. Če bi tedaj Oracle zakrpal neko drugo starejšo ranljivost (Reflection API, Issue 32), kot se spodobi, bi hkrati onemogočil tudi najnovejšo. Toda oktobra so avgustovsko luknjo popravili površno, zato je danes izbruhnila nova. In ta se danes uporablja tudi za izsiljevanje. Gre za zlonamerne programe (ransomware), ki izkoristijo ranljivosti za namestitev na sistem in ga potem zašifrirajo. Za odklep podatkov od uporabnika terjajo plačilo nekega zneska.

19 komentarjev

enadvatri ::

Še dobro, da večina sodnih aplikacij teče tako ali drugače v Javi (kot debeli odjemalec in v brskalniku). Izklopiti pa je zato ne morejo. :))

RejZoR ::

Sam imam Javo samo zaradi Minecrafta. Drugače je sploh ne bi imel naložene...
Angry Sheep Blog @ www.rejzor.com

enadvatri ::

enadvatri je izjavil:

Še dobro, da večina sodnih aplikacij teče tako ali drugače v Javi (kot debeli odjemalec in v brskalniku). Izklopiti pa je zato ne morejo. :))


Pa še starih javanskih ranljivosti se niso rešili, ker je ne morejo nadgraditi zaradi nezdružljivosti. :D

Mavrik ::

enadvatri je izjavil:

Še dobro, da večina sodnih aplikacij teče tako ali drugače v Javi (kot debeli odjemalec in v brskalniku). Izklopiti pa je zato ne morejo. :))


Saj veš, da se ta exploit dotika samo appletov a ne?
The truth is rarely pure and never simple.

Unknown_001 ::

RejZoR je izjavil:

Sam imam Javo samo zaradi Minecrafta. Drugače je sploh ne bi imel naložene...


Čim sem ga jst nehal igrat, je takoj romala dol z diska.

enadvatri ::

Mavrik je izjavil:

enadvatri je izjavil:

Še dobro, da večina sodnih aplikacij teče tako ali drugače v Javi (kot debeli odjemalec in v brskalniku). Izklopiti pa je zato ne morejo. :))


Saj veš, da se ta exploit dotika samo appletov a ne?


Da, da. AJPES-ov PRS-GD npr.

Marat ::

Mavrik je izjavil:

Saj veš, da se ta exploit dotika samo appletov a ne?

A pol ne vpliva na strani narejene s Play frameworkom (2.0)?

Mavrik ::

Doh ne. Dajte si prebrat za kaj se gre no.
The truth is rarely pure and never simple.

b3D_950 ::

A to dela samo na XPjih?

edit: dela na vsem.
Zdaj ko je mir, jemo samo krompir.

Zgodovina sprememb…

  • spremenil: b3D_950 ()

M.B. ::

Marat je izjavil:

Mavrik je izjavil:

Saj veš, da se ta exploit dotika samo appletov a ne?

A pol ne vpliva na strani narejene s Play frameworkom (2.0)?


Play framework je serverside framework. In s clientom nima veze.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

...:TOMI:... ::

Arnesov speedtest temelji na javi, sedaj pa priporočajo odstranitev jave. Dali so si avtogol.
Tomi

Grumf ::

Nimam nameščene jave. Če program potrebuje JRE, takega programa ne rabim. (enako kot je včasih veljalo
za vbrun*.dll :)), ista jajca). Določene stvari je pač treba bojkotirati, da lahko mirno spiš...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

MrStein ::

Že nekaj časa sem izklopil JAva plugin v vseh browserjih in pustil le v Chrome, ki vpraša pred vsakim zagonom Jave na strani.
(če sem prav razumel tudi Firefox to po novem dela).

Je pa zelo zajebano izklopiti Javo v IE (hvala, MS!).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Grumf je izjavil:

Nimam nameščene jave. Če program potrebuje JRE, takega programa ne rabim. (enako kot je včasih veljalo
za vbrun*.dll :)), ista jajca). Določene stvari je pač treba bojkotirati, da lahko mirno spiš...

Ranljivost ni v Javi, ki že tako ima dostop do sistema, ampak v java appletih ki načeloma ne smejo imeti dostopa in ga z izkoriščanjem te ranljivosti prodobijo.

Grumf ::

techfreak :) je izjavil:

Ranljivost ni v Javi, ki že tako ima dostop do sistema, ampak v java appletih ki načeloma ne smejo imeti dostopa in ga z izkoriščanjem te ranljivosti prodobijo.


Ranljivost je v nameščeni javi, java apleti nimajo nič s tem (razen da jih uporabiš da luknjo iskoristiš).

Bottom line, no java no problems.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

RejZoR ::

Včeraj sem Security slider v nastavitvah Jave potegnil povsem do vrha in odstranil kljukico za integracijo v browser. Minecraft še vedno deluje brez težav, drugje pa ne bi smela delovat. Za ostali lockdown sistema pa trenutno skrbi CIS 6 nastavljen na Limited.
Angry Sheep Blog @ www.rejzor.com

jlpktnst ::

Kaj pa OpenJDK, ima tudi te ranljivosti?

jkreuztzfeld ::

--
Great minds run in great circles.

b3D_950 ::

Zgleda, da problemov še ni koncec.
Zdaj ko je mir, jemo samo krompir.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft svari pred novim WannaCryjem

Oddelek: Novice / Varnost
114837 (3198) MrStein
»

Oracle opušča Java Plugin

Oddelek: Novice / Brskalniki
4122494 (19797) andromedar
»

Kritična ranljivost v Javi posledica Oraclove površnosti

Oddelek: Novice / Varnost
199338 (6776) b3D_950
»

Previdno z Javo (spet) (strani: 1 2 )

Oddelek: Novice / Varnost
7426809 (23486) Grumf
»

Študija varnosti brskalnikov: prvi Chrome, drugi IE, Firefox daleč zadaj (strani: 1 2 )

Oddelek: Novice / Brskalniki
7021667 (16569) mikko

Več podobnih tem