Megérkezett a Java gyorsjavítása

Soron kívül, az október 16-ra ütemezett frissítési hullám előtt kiadta a Java kritikus sebezhetőségét foltozó javítását az Oracle - jelentette be a szoftvercég. A hiba súlyosságára jellemző, hogy a CVSS skálán az Oracle 10.0, vagyis a létező legmagasabb pontozást adott rá - a patch telepítése minden felhasználó számára ajánlott. A javított hiba leírása magyarul részletesen a Javaforum.hu oldalán is olvasható, de a BuheraBlog is közölt róla részleteket.

A sérülékenységet kihasználó kód napok alatt bekerült a Blackhole Exploit Kitbe is, így a rosszindulatú szoftvereket gyártók könnyedén kihasználhatták azt. Meg is tették, a sebezhetőséget jelenleg már több mint 100 különböző weboldal használja ki, amelyek már OS X-et is támadnak a Javán keresztül. A szakértők által megfigyelt támadások komolysága változó, a Sophos blogja beszámolt OS X-re windowsos malware-t telepíteni próbáló támadásról, de rendkívül veszélyes, célzott támadást is találtak már.

Botrányos hiba, botrányos lassúság

A sebezhetőség hamar a figyelem középpontjába került, mivel a látványos hiba kihasználásával megkerülhető az operációs rendszerek és a böngészők fejlett biztonsági sandboxa és egyszerűen futtatható tetszőleges kód az áldozat gépén, anélkül, hogy erről bármilyen információt kapna. Az Oracle kommunikációs helyzetén azonban még ennél is többet rontott, hogy kiderült, a sebezhetőségről már több mint négy hónapja tud a cég, eddig azonban nem fordított elegendő figyelmet a tátongó biztonsági rés befoltozására.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A Security Explorations biztonsági cég szerint ugyanis a súlyos hibát (18 másik, jelenleg ismeretlen hibával együtt) már több mint négy hónapja jelezték az Oracle felé, a szoftverház azonban eddig nem lépett a kérdésben. A Security Explorations pedig nem csupán a hibára hívta fel a figyelmet, de úgynevezett proof of concept kódot, vagyis támadó kóddá fejleszthető megoldást is mutatott az Oracle-nek. A szoftvercég augusztus közepén jelezte a biztonsági cégnek, hogy két bejelentett hibára az október 16-án esedékes CPU (Critical Patch Update) hoz majd javítást, az aktív támadások és a médiavisszhang hatására azonban az Oracle ezt a sebezhetőséget már most javítja. Az Oracle bejelentése szerint egyébként a javítás összesen négy, egymással összefüggésben lévő, azonban egyenként is kihasználható sebezhetőséget foltoz a Java 7-ben.

Ami nincs, az nem veszélyes

Az Oracle látványosan hanyag hozzáállása nyomán a biztonsági szakemberek elkezdtek arról is beszélni, hogy a Java-telepítés a felhasználók egy része számára felesleges és fontos biztonsági rést jelent a számítógépen, így eltávolítása még a patch kiadása ellenére is ajánlott, ha annak jelenlétét éppen semmi nem indokolja az adott kliensen. Magyarországon ennek csak korlátozott realitása van, a legtöbb banknak, illetve például az adóhatóságnak Java-alapú alkalmazásai vannak - előbbiek pedig ráadásul a böngészőben is futnak, így csak még a böngészős letiltás is problémás. A legjobb megoldás ebben az esetben, ha a Java frissítéseket mindig azonnal telepítjük, és mellé megbízható biztonsági szoftvert használunk.

A Java 7 update 7 nevet viselő frissítés az Oracle oldaláról már letölthető.