Szerző: Gálffy Csaba

2012. augusztus 28. 11:31

Súlyos sebezhetőség a legújabb Javában

Új sebezhetőséget találtak kutatók a Java 7-ben, amelyet ráadásul már élesben, aktívan ki is használnak támadók. Egyelőre csak a Java teljes eltávolításával tehetjük biztonságossá a számítógépeket.

A Java 7-es verziójában található súlyos biztonsági résre hívják fel a FireEye szakértői a figyelmet. A Java futtatókörnyezetet új verziójában hibás egy osztály megvalósítása, ami lehetővé teszi a  letiltott csomagokhoz történő hozzáférést is. A hiba a Java korábbi kiadásaiban is megtalálható, a kihasználáshoz szükséges metódus azonban abban még privátnak, így elérhetetlennek számított a támadó számára.

A hibát kihasználó kód 24 óra alatt be is került a Metasploit keretrendszerbe, így bárki tesztelheti rendszereit a sérülékenységgel szemben - jelenti a Buhera Blog. Az elérhető kód segítségével várhatóan a sérülékenység kihasználása a következő napokban várhatóan széles körben elterjed, ahogy a pénzért megvásárolható támadócsomagok repertoárjába is bekerül a kód. A biztonsági rés támadását ráadásul különösen kifizetődővé teszi, hogy a Javát lassabban frissíti az Oracle és a felhasználók, így számtalan gépen még valószínűleg hónapokig megtalálható lesz a sérülékenység.

A leírások szerint a támadásról a felhasználó gyakorlatilag semmilyen vizuális visszajelzést nem kap, sem a Java, sem a böngészők nem adnak figyelmeztetést a kódfuttatásról. Az egyetlen árulkodó jel, hogy lassabb gépeken a Java betöltődésének idejére felvillanhat az animáció. A Java keresztplatformos jellegének köszönhetően ráadásul az összes nagyobb böngészőn és operációs rendszeren megbízhatóan működik a támadás, az Internet Explorer, a Firefox vagy a Chrome, illetve Windows 7, Windows XP, vagy éppen Ubuntu 12.04 alatt is sebezhetővé teszi a gépet (ez utóbbi esetében csak az alapértelmezett OpenJRE eltávolítása és az Oracle-féle Java feltelepítése után).

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A biztonsági szakértők szerint a Java korábbi, 6-os kiadása mentes ettől a sebezhetőségtől, de az abban található sok egyéb sebezhetőség miatt senki nem ajánlja a downgrade-et. A hiba súlyosságára jellemző, hogy a szakértők nem csak a vállalatok számára, hanem a végfelhasználók számára is a Java teljes eltávolítását ajánlják egyelőre a számítógépről. Amennyiben bizonyos alkalmazások futtatásához (például OpenOffice) feltétlenül szükséges a Java, legalább a böngészőben futó változatot érdemes letiltani, így a fertőzött weboldalak nem tudnak tetszőleges kódot futtatni a számítógépen.

Az Oracle egyelőre nem kommentálta a sebezhetőséget, így a javítás várható kiadási időpontjáról sincs hivatalos információ. A Java következő menetrend szerinti javítása október közepén esedékes, a súlyos hiba javításával remélhetőleg nem vár eddig a cég. Amennyiben kritikus javításra van szükség, számos biztonsági cég adott ki saját patch-et a hibára, amelyet kérdésre meg is küldenek - a nemhivatalos patch kompatibilitására azonban nincs garancia.

Európa egyik legnagyobb Atlassiannal kapcsolatos rendezvénye, immár kilencedik alkalommal, új lendületet ad a vállalati produktivitásnak és a hatékony ügyfélkezelésnek. A március 20-21-i rendezvényen is lesznek top nemzetközi vendorok, a fókuszban pedig a projekt menedzsment, az IT szolgáltatásmenedzsment, és a HR lesznek.

a címlapról