Szerző: Gálffy Csaba

2013. január 21. 11:01

Továbbra is veszélyes a Java

Több forrás is megerősíti, hogy a Java SE futtatókörnyezet továbbra sem biztonságos. A helyzetet súlyosbítja, hogy a múlt heti frissítés részlegesnek bizonyult

Mindössze pár napja érkezett a Java sérülékenységét kijavító folt az Oracle-től, több forrás is arról számol be, hogy a futtatókörnyezet továbbra sem biztonságos. A Full Disclosure biztonsági levelezőlistán Adam Gowdiak, a Security Explorations alapítója bejelentette, hogy a legfrissebb, JRE 1.7.0_11-b21 verziójú Java frissítésben is sikerült kitörni a biztonsági sandboxból és tetszőleges kódot futtatni a felhasználó számítógépén. A szakemberek a biztonsági hibát és a működő támadó mintakódot eljuttatták az Oracle-hez, a javítás megszületéséig ezeket nem hozzák nyilvánosságra.

Gowdiaktól függetlenül az Immunity biztonsági cég munkatársai azt találták, hogy a múlt héten kiadott Java-frissítés a megcélzott két hibából csak az egyiket javította kielégítően, a másik javítás továbbra is megkerülhető, így a hiba továbbra is javítatlannak tekinthető. Ez a hiba önmagában még nem teszi lehetővé tetszőleges kód futtatását, ehhez egy másik, önmagában szintén nem kritikus hibával kell kombinálni.

Támadó frissítés

Az új Java-hibák után nem csak a biztonsági cégek kutatnak lelkesen, a másik oldalon is nagyon aktív a közösség. A feketepiacon is kering már egy új Java biztonsági hiba, amelyhez az eladó különböző hacker-fórumokon kereste a vásárlókat. A hiba részletes leírása, a működő, támadásra alkalmas kód és a tetszés szerint integrálható forráskódot 5 ezer dolláros kikiáltási áron dobta piacra a megtaláló. A fórumszálat azóta törölték, feltételezhetően a hirdetés felkeltette az érdeklődők figyelmét és esélyes, hogy a hiba már el is kelt.

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A Java biztonságával kapcsolatos zűrzavart igyekeznek a támadók is felhasználni. A Trend Micro blogja arról számol be, hogy megjelentek hamis Java-frissítésnek álcázott kártevők, amelyek telepítés után zárolják és túszul ejtik a felhasználó számítógépét, adatait. A biztonsági cég által megvizsgált kártevő ugyanakkor nem működött tökéletesen, a zsarolást bejelentő és a pénzt követelő weboldalt nem jeleníti meg, így a felhasználó csak egy üres böngészőablakot kap.

Kell az Oracle-nek néhány százmillió felhasználó?

A Java biztonsági problémái mostmár rendszeresen visszatérő vendégei a szakmai médiának, ennek fényében nem meglepő, hogy egyre többen szólítanak fel a Java eltávolítására, amennyiben nem elengedhetetlen a futtatókörnyezet jelenléte. Az Oracle nagyvállalati szoftverekben utazik, számukra a Java elsősorban az ezek futtatásához szükséges platform. A Sun 2010-es felvásárlásával azonban a cég hirtelen néhány százmillió felhasználó számítógépén találta magát, ennek a helyzetnek a következményeire azonban csak lassan kezdenek ráeszmélni - a vállalati szoftverek biztonsági követelményei alapvetően eltérnek a nagyon széles körben használt felhasználói szoftverekéitől.

A platform kódjának minősége aggodalomra ad okot Gowdiak szerint és egyelőre Secure Development Lifecycle-t, azaz biztonságot elsősorban szem előtt tartó fejlesztési metódust sem implementált az Oracle ennek kijavítására. Ugyan az utolsó (mint kiderült, részleges) frissítést mindössze négy nap alatt kiadta a szoftverház, egyelőre kevés jele van annak, hogy az Oracle szeretné megtartani ezt a széles felhasználói bázist.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról