Szerző: Gálffy Csaba

2012. november 26. 14:44

Részletes összefoglaló jelent meg a Java biztonsági problémáiról

A Security Explorations egyetlen alapos vizsgálatban jól összefoglalta a Java biztonsági problémáival kapcsolatos összes tudnivalót. Kapott az Oracle is, a lengyelek szerint egyszerűen botrányos a cég hozzáállása a futtatókörnyezet karbantartásához.

Nagy lélegzetvételű projektet fejezett be a Java biztonsági mechanizmusainak és problémáinak feltérképezésére a lengyel Security Explorations. A nemes egyszerűséggel csak SE-2012-01 névre keresztelt munka hiánypótló a javás biztonság terén, mind a mechanizmus, mind a megkerülő utak bemutatása igen kimerítőre sikerült. A műszaki jelentés innen, a Devoxx konferencián bemutatott (szintén alapos) prezentáció innen érhető el.

A kutatás elsősorban a Reflection API-ra fókuszál, amely nyers erejénél fogva is a támadók kedvenc eszköze a Java feltörésére. Az alkalmazásprogramozási interfész ugyanis elérhetővé teszi az alkalmazások futásidejű elemzését illetve manipulálását, így látványos eredményekre képes. A kutatás szerint az API tervezésekor a fejlesztők nagyon jó biztonsági mechanizmusokat hoztak létre, a külső csomagok és a további fejlesztés azonban ezek egy részét fellazították, így az API mára a sandboxból való kitörés egyik legfontosabb eszközévé vált - írja a Java Forum.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

"Az alaprendszer nyilvánosan elérhető osztályai megengedhetik a hívónak, hogy tetszőleges paramétereket adjon át az osztályokon belül használt Reflection interfészekhez. Mivel ezek az osztályok általában kiterjedt, vagy egyenesen korlátlan jogosultságokat biztosító kontextusban léteznek, a Reflection API pedig csak a közvetlen hívó privilégiumait ellenőrzi, egy sandboxból jövő támadó például referenciákat szerezhet biztonsági okokból letiltott csomagok (tipikusan a sun.*) osztályaira és metódusaira, amivel teljes hozzáférést kaphat a virtuális gépen kívüli világhoz. A dolog kicsit hasonlít a parancsinjektálásra, csak itt végül Java bytekód kerül futtatásra." - foglalja össze a BuheraBlog.

Oracle, a csiga

A kutatás prezentációjában a vezető Adam Gowdiak a különböző virtuális gépeket készítő cégeket is összehasonlította. Ebből az IBM jött ki messze a legjobban, a lengyelek által bejelentett hibákból mindössze két hónap alatt javítás lett, a felhasználók pedig egész részletes leírást kaptak a hibáról. Az ellenpólust az Apple jelenti, a javítások 5 hónappal a jelentés után érkeztek, a felhasználók tájékoztatása pedig rendkívül szűkszavúra sikerült. Az Apple legalább beismerte, hogy nem kíván a témával a jövőben foglakozni, egyszerű húzással eltávolította egy frissítéssel OS X alatt a böngészős Javát, így aki a jövőben ilyent akar használni, töltse le az Oracle-féle verziót.

Gowdiak szerint ez sem jobb megoldás, az Oracle hozzáállása egyenesen botrányos, ami a Java biztonságossá tételét illeti. A lengyelek az 50-es sorszámú, kritikus probléma jelentését és a szükséges javítást már hónapokkal ezelőtt elküldték a fejlesztőknek, Gowdiak szerint a javítás mintegy 30 perc alatt megoldható és egyáltalán nem igényel integrációs (kompatibilitási) teszteket. Ezt egyébként Gowdiak hajlandó is bebizonyítani, amint a javítást az Oracle kiadja.

a címlapról