Szerző: Bizó Dániel

2010. április 15. 18:22:00

Az Oracle mégis javította a Java rését

Az Oracle rendkívül gyorsan lereagálta a napokban publikált Java-sebezhetőséget, és soronkívüli frissítést adott ki a Java környezethez. Az Update 20 nem részletezi ugyan, milyen biztonsági javításokat eszközöl, az időzítésből és a technikai megjegyzésekből nagyon úgy tűnik azonban, hogy a nyilvánosságra került rést foltozza be.

Múlt hét pénteken tette közzé egy Google-nél dolgozó biztonsági szakember, hogy olyan problémát fedezett fel a Java futtatási környezet (JRE) működésében, amelyet kihasználva a támadó tetszőleges kódot futtathat az áldozat Windows gépén. Mindehhez mindössze egy megfelelő JavaScriptekkel preparált weboldalra kell csalnia a felhasználót, amelyet ha feldolgoz az Internet Explorer vagy Firefox, akkor jogosulatlan kódot tölt be.

Mindezt nem egy programozási hibából, hanem a Java meggondolatlanul megengedő szoftvertelepítési politikájából fakadóan. Hogy megkönnyítse a szoftverfejlesztők dolgát, a Sun a Java 6 Update 10 óta terjeszti a JRE részeként a Deployment Toolkitet, amely böngésző bővítményként lehetővé teszi, hogy egy alkalmazás a weboldalból áttelepüljön a felhasználó gépére, és önálló alkalmazásként is képes legyen futni, ha kell, az éppen futó JRE verzióját is tetszőleges megválasztva. Ez olyan jól sikerült, hogy a Web Start rosszindulatúan is felparaméterezhető ezen keresztül, és a felhasználó jogosultsági szintjén bármilyen kód meghívható.

A hibát felfedező Tavis Ormandy jelentette a gondot az Oracle számára, az ottani csapat azonban közölte, hogy nem elég magas prioritású a gond, ezért nem ad ki soronkívüli javítást. Ormandy ezt követően döntött úgy, hogy nyilvánosságra hozza a rést, mivel az túlságosan könnyen kiaknázható, és rengeteg felhasználóra veszélyes. A HWSW-nek egy Windows XP rendszeren Firefox 3.6 és Internet Explorer 8 böngészőn is sikerült reprodukálni a hibát, igaz, Windows 7-en nem. Az AVG szerint napok alatt felépültek támadások a weben, amelyek ezt a hibát igyekeztek kihasználni.

Kétségtelenül a nyomás hatására az Oracle megjelentette az Update 20-at, amelynek kiadási jegyzéke szűkszavúan nyilatkozik a változásokról, és nem részletezi egyáltalán a biztonsági javításokat. A dokumentált komponensek, mint a Java Network Launch Protocol, Web Start vagy Deployment azonban mind arra utalnak, hogy az Oracle csendben ugyan, de igenis javította a jelentett rést. A HWSW-nek a frissítést telepítését követően nem sikerült produkálni a sebezhetőséget, ugyanakkor továbbra is érdemes lehet letiltani a Deployment Toolkitet.

a címlapról