Továbbra is veszélyes a Java
Több forrás is megerősíti, hogy a Java SE futtatókörnyezet továbbra sem biztonságos. A helyzetet súlyosbítja, hogy a múlt heti frissítés részlegesnek bizonyult
Mindössze pár napja érkezett a Java sérülékenységét kijavító folt az Oracle-től, több forrás is arról számol be, hogy a futtatókörnyezet továbbra sem biztonságos. A Full Disclosure biztonsági levelezőlistán Adam Gowdiak, a Security Explorations alapítója bejelentette, hogy a legfrissebb, JRE 1.7.0_11-b21 verziójú Java frissítésben is sikerült kitörni a biztonsági sandboxból és tetszőleges kódot futtatni a felhasználó számítógépén. A szakemberek a biztonsági hibát és a működő támadó mintakódot eljuttatták az Oracle-hez, a javítás megszületéséig ezeket nem hozzák nyilvánosságra.
Gowdiaktól függetlenül az Immunity biztonsági cég munkatársai azt találták, hogy a múlt héten kiadott Java-frissítés a megcélzott két hibából csak az egyiket javította kielégítően, a másik javítás továbbra is megkerülhető, így a hiba továbbra is javítatlannak tekinthető. Ez a hiba önmagában még nem teszi lehetővé tetszőleges kód futtatását, ehhez egy másik, önmagában szintén nem kritikus hibával kell kombinálni.
Támadó frissítés
Az új Java-hibák után nem csak a biztonsági cégek kutatnak lelkesen, a másik oldalon is nagyon aktív a közösség. A feketepiacon is kering már egy új Java biztonsági hiba, amelyhez az eladó különböző hacker-fórumokon kereste a vásárlókat. A hiba részletes leírása, a működő, támadásra alkalmas kód és a tetszés szerint integrálható forráskódot 5 ezer dolláros kikiáltási áron dobta piacra a megtaláló. A fórumszálat azóta törölték, feltételezhetően a hirdetés felkeltette az érdeklődők figyelmét és esélyes, hogy a hiba már el is kelt.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A Java biztonságával kapcsolatos zűrzavart igyekeznek a támadók is felhasználni. A Trend Micro blogja arról számol be, hogy megjelentek hamis Java-frissítésnek álcázott kártevők, amelyek telepítés után zárolják és túszul ejtik a felhasználó számítógépét, adatait. A biztonsági cég által megvizsgált kártevő ugyanakkor nem működött tökéletesen, a zsarolást bejelentő és a pénzt követelő weboldalt nem jeleníti meg, így a felhasználó csak egy üres böngészőablakot kap.
Kell az Oracle-nek néhány százmillió felhasználó?
A Java biztonsági problémái mostmár rendszeresen visszatérő vendégei a szakmai médiának, ennek fényében nem meglepő, hogy egyre többen szólítanak fel a Java eltávolítására, amennyiben nem elengedhetetlen a futtatókörnyezet jelenléte. Az Oracle nagyvállalati szoftverekben utazik, számukra a Java elsősorban az ezek futtatásához szükséges platform. A Sun 2010-es felvásárlásával azonban a cég hirtelen néhány százmillió felhasználó számítógépén találta magát, ennek a helyzetnek a következményeire azonban csak lassan kezdenek ráeszmélni - a vállalati szoftverek biztonsági követelményei alapvetően eltérnek a nagyon széles körben használt felhasználói szoftverekéitől.
A platform kódjának minősége aggodalomra ad okot Gowdiak szerint és egyelőre Secure Development Lifecycle-t, azaz biztonságot elsősorban szem előtt tartó fejlesztési metódust sem implementált az Oracle ennek kijavítására. Ugyan az utolsó (mint kiderült, részleges) frissítést mindössze négy nap alatt kiadta a szoftverház, egyelőre kevés jele van annak, hogy az Oracle szeretné megtartani ezt a széles felhasználói bázist.