Szerző: Gálffy Csaba

2012. augusztus 28. 11:31

Súlyos sebezhetőség a legújabb Javában

Új sebezhetőséget találtak kutatók a Java 7-ben, amelyet ráadásul már élesben, aktívan ki is használnak támadók. Egyelőre csak a Java teljes eltávolításával tehetjük biztonságossá a számítógépeket.

A Java 7-es verziójában található súlyos biztonsági résre hívják fel a FireEye szakértői a figyelmet. A Java futtatókörnyezetet új verziójában hibás egy osztály megvalósítása, ami lehetővé teszi a  letiltott csomagokhoz történő hozzáférést is. A hiba a Java korábbi kiadásaiban is megtalálható, a kihasználáshoz szükséges metódus azonban abban még privátnak, így elérhetetlennek számított a támadó számára.

A hibát kihasználó kód 24 óra alatt be is került a Metasploit keretrendszerbe, így bárki tesztelheti rendszereit a sérülékenységgel szemben - jelenti a Buhera Blog. Az elérhető kód segítségével várhatóan a sérülékenység kihasználása a következő napokban várhatóan széles körben elterjed, ahogy a pénzért megvásárolható támadócsomagok repertoárjába is bekerül a kód. A biztonsági rés támadását ráadásul különösen kifizetődővé teszi, hogy a Javát lassabban frissíti az Oracle és a felhasználók, így számtalan gépen még valószínűleg hónapokig megtalálható lesz a sérülékenység.

A leírások szerint a támadásról a felhasználó gyakorlatilag semmilyen vizuális visszajelzést nem kap, sem a Java, sem a böngészők nem adnak figyelmeztetést a kódfuttatásról. Az egyetlen árulkodó jel, hogy lassabb gépeken a Java betöltődésének idejére felvillanhat az animáció. A Java keresztplatformos jellegének köszönhetően ráadásul az összes nagyobb böngészőn és operációs rendszeren megbízhatóan működik a támadás, az Internet Explorer, a Firefox vagy a Chrome, illetve Windows 7, Windows XP, vagy éppen Ubuntu 12.04 alatt is sebezhetővé teszi a gépet (ez utóbbi esetében csak az alapértelmezett OpenJRE eltávolítása és az Oracle-féle Java feltelepítése után).

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A biztonsági szakértők szerint a Java korábbi, 6-os kiadása mentes ettől a sebezhetőségtől, de az abban található sok egyéb sebezhetőség miatt senki nem ajánlja a downgrade-et. A hiba súlyosságára jellemző, hogy a szakértők nem csak a vállalatok számára, hanem a végfelhasználók számára is a Java teljes eltávolítását ajánlják egyelőre a számítógépről. Amennyiben bizonyos alkalmazások futtatásához (például OpenOffice) feltétlenül szükséges a Java, legalább a böngészőben futó változatot érdemes letiltani, így a fertőzött weboldalak nem tudnak tetszőleges kódot futtatni a számítógépen.

Az Oracle egyelőre nem kommentálta a sebezhetőséget, így a javítás várható kiadási időpontjáról sincs hivatalos információ. A Java következő menetrend szerinti javítása október közepén esedékes, a súlyos hiba javításával remélhetőleg nem vár eddig a cég. Amennyiben kritikus javításra van szükség, számos biztonsági cég adott ki saját patch-et a hibára, amelyet kérdésre meg is küldenek - a nemhivatalos patch kompatibilitására azonban nincs garancia.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról