Szerző: Gálffy Csaba

2012. augusztus 28. 11:31

Súlyos sebezhetőség a legújabb Javában

Új sebezhetőséget találtak kutatók a Java 7-ben, amelyet ráadásul már élesben, aktívan ki is használnak támadók. Egyelőre csak a Java teljes eltávolításával tehetjük biztonságossá a számítógépeket.

A Java 7-es verziójában található súlyos biztonsági résre hívják fel a FireEye szakértői a figyelmet. A Java futtatókörnyezetet új verziójában hibás egy osztály megvalósítása, ami lehetővé teszi a  letiltott csomagokhoz történő hozzáférést is. A hiba a Java korábbi kiadásaiban is megtalálható, a kihasználáshoz szükséges metódus azonban abban még privátnak, így elérhetetlennek számított a támadó számára.

A hibát kihasználó kód 24 óra alatt be is került a Metasploit keretrendszerbe, így bárki tesztelheti rendszereit a sérülékenységgel szemben - jelenti a Buhera Blog. Az elérhető kód segítségével várhatóan a sérülékenység kihasználása a következő napokban várhatóan széles körben elterjed, ahogy a pénzért megvásárolható támadócsomagok repertoárjába is bekerül a kód. A biztonsági rés támadását ráadásul különösen kifizetődővé teszi, hogy a Javát lassabban frissíti az Oracle és a felhasználók, így számtalan gépen még valószínűleg hónapokig megtalálható lesz a sérülékenység.

A leírások szerint a támadásról a felhasználó gyakorlatilag semmilyen vizuális visszajelzést nem kap, sem a Java, sem a böngészők nem adnak figyelmeztetést a kódfuttatásról. Az egyetlen árulkodó jel, hogy lassabb gépeken a Java betöltődésének idejére felvillanhat az animáció. A Java keresztplatformos jellegének köszönhetően ráadásul az összes nagyobb böngészőn és operációs rendszeren megbízhatóan működik a támadás, az Internet Explorer, a Firefox vagy a Chrome, illetve Windows 7, Windows XP, vagy éppen Ubuntu 12.04 alatt is sebezhetővé teszi a gépet (ez utóbbi esetében csak az alapértelmezett OpenJRE eltávolítása és az Oracle-féle Java feltelepítése után).

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

A biztonsági szakértők szerint a Java korábbi, 6-os kiadása mentes ettől a sebezhetőségtől, de az abban található sok egyéb sebezhetőség miatt senki nem ajánlja a downgrade-et. A hiba súlyosságára jellemző, hogy a szakértők nem csak a vállalatok számára, hanem a végfelhasználók számára is a Java teljes eltávolítását ajánlják egyelőre a számítógépről. Amennyiben bizonyos alkalmazások futtatásához (például OpenOffice) feltétlenül szükséges a Java, legalább a böngészőben futó változatot érdemes letiltani, így a fertőzött weboldalak nem tudnak tetszőleges kódot futtatni a számítógépen.

Az Oracle egyelőre nem kommentálta a sebezhetőséget, így a javítás várható kiadási időpontjáról sincs hivatalos információ. A Java következő menetrend szerinti javítása október közepén esedékes, a súlyos hiba javításával remélhetőleg nem vár eddig a cég. Amennyiben kritikus javításra van szükség, számos biztonsági cég adott ki saját patch-et a hibára, amelyet kérdésre meg is küldenek - a nemhivatalos patch kompatibilitására azonban nincs garancia.

Regisztrálj az ingyenes Cloud-native és DevOps tippek nagyvállatoknak konferenciára, ahol a Red Hat és az Alerant szakértői bemutatják a Kubernetes, OpenShift, microservice architektúrák gyakorlati alkalmazását!

a címlapról

privátháló

2

VPN-nel bővül a Google One

2020. október 30. 11:52

A vaskosabb előfizetésekhez a Google új, ajándék VPN szolgáltatást is hozzácsap.