Részletes összefoglaló jelent meg a Java biztonsági problémáiról
A Security Explorations egyetlen alapos vizsgálatban jól összefoglalta a Java biztonsági problémáival kapcsolatos összes tudnivalót. Kapott az Oracle is, a lengyelek szerint egyszerűen botrányos a cég hozzáállása a futtatókörnyezet karbantartásához.
Nagy lélegzetvételű projektet fejezett be a Java biztonsági mechanizmusainak és problémáinak feltérképezésére a lengyel Security Explorations. A nemes egyszerűséggel csak SE-2012-01 névre keresztelt munka hiánypótló a javás biztonság terén, mind a mechanizmus, mind a megkerülő utak bemutatása igen kimerítőre sikerült. A műszaki jelentés innen, a Devoxx konferencián bemutatott (szintén alapos) prezentáció innen érhető el.
A kutatás elsősorban a Reflection API-ra fókuszál, amely nyers erejénél fogva is a támadók kedvenc eszköze a Java feltörésére. Az alkalmazásprogramozási interfész ugyanis elérhetővé teszi az alkalmazások futásidejű elemzését illetve manipulálását, így látványos eredményekre képes. A kutatás szerint az API tervezésekor a fejlesztők nagyon jó biztonsági mechanizmusokat hoztak létre, a külső csomagok és a további fejlesztés azonban ezek egy részét fellazították, így az API mára a sandboxból való kitörés egyik legfontosabb eszközévé vált - írja a Java Forum.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
"Az alaprendszer nyilvánosan elérhető osztályai megengedhetik a hívónak, hogy tetszőleges paramétereket adjon át az osztályokon belül használt Reflection interfészekhez. Mivel ezek az osztályok általában kiterjedt, vagy egyenesen korlátlan jogosultságokat biztosító kontextusban léteznek, a Reflection API pedig csak a közvetlen hívó privilégiumait ellenőrzi, egy sandboxból jövő támadó például referenciákat szerezhet biztonsági okokból letiltott csomagok (tipikusan a sun.*) osztályaira és metódusaira, amivel teljes hozzáférést kaphat a virtuális gépen kívüli világhoz. A dolog kicsit hasonlít a parancsinjektálásra, csak itt végül Java bytekód kerül futtatásra." - foglalja össze a BuheraBlog.
Oracle, a csiga
A kutatás prezentációjában a vezető Adam Gowdiak a különböző virtuális gépeket készítő cégeket is összehasonlította. Ebből az IBM jött ki messze a legjobban, a lengyelek által bejelentett hibákból mindössze két hónap alatt javítás lett, a felhasználók pedig egész részletes leírást kaptak a hibáról. Az ellenpólust az Apple jelenti, a javítások 5 hónappal a jelentés után érkeztek, a felhasználók tájékoztatása pedig rendkívül szűkszavúra sikerült. Az Apple legalább beismerte, hogy nem kíván a témával a jövőben foglakozni, egyszerű húzással eltávolította egy frissítéssel OS X alatt a böngészős Javát, így aki a jövőben ilyent akar használni, töltse le az Oracle-féle verziót.
Gowdiak szerint ez sem jobb megoldás, az Oracle hozzáállása egyenesen botrányos, ami a Java biztonságossá tételét illeti. A lengyelek az 50-es sorszámú, kritikus probléma jelentését és a szükséges javítást már hónapokkal ezelőtt elküldték a fejlesztőknek, Gowdiak szerint a javítás mintegy 30 perc alatt megoldható és egyáltalán nem igényel integrációs (kompatibilitási) teszteket. Ezt egyébként Gowdiak hajlandó is bebizonyítani, amint a javítást az Oracle kiadja.