Szerző: Gálffy Csaba

2013. január 21. 11:01

Továbbra is veszélyes a Java

Több forrás is megerősíti, hogy a Java SE futtatókörnyezet továbbra sem biztonságos. A helyzetet súlyosbítja, hogy a múlt heti frissítés részlegesnek bizonyult

Mindössze pár napja érkezett a Java sérülékenységét kijavító folt az Oracle-től, több forrás is arról számol be, hogy a futtatókörnyezet továbbra sem biztonságos. A Full Disclosure biztonsági levelezőlistán Adam Gowdiak, a Security Explorations alapítója bejelentette, hogy a legfrissebb, JRE 1.7.0_11-b21 verziójú Java frissítésben is sikerült kitörni a biztonsági sandboxból és tetszőleges kódot futtatni a felhasználó számítógépén. A szakemberek a biztonsági hibát és a működő támadó mintakódot eljuttatták az Oracle-hez, a javítás megszületéséig ezeket nem hozzák nyilvánosságra.

Gowdiaktól függetlenül az Immunity biztonsági cég munkatársai azt találták, hogy a múlt héten kiadott Java-frissítés a megcélzott két hibából csak az egyiket javította kielégítően, a másik javítás továbbra is megkerülhető, így a hiba továbbra is javítatlannak tekinthető. Ez a hiba önmagában még nem teszi lehetővé tetszőleges kód futtatását, ehhez egy másik, önmagában szintén nem kritikus hibával kell kombinálni.

Támadó frissítés

Az új Java-hibák után nem csak a biztonsági cégek kutatnak lelkesen, a másik oldalon is nagyon aktív a közösség. A feketepiacon is kering már egy új Java biztonsági hiba, amelyhez az eladó különböző hacker-fórumokon kereste a vásárlókat. A hiba részletes leírása, a működő, támadásra alkalmas kód és a tetszés szerint integrálható forráskódot 5 ezer dolláros kikiáltási áron dobta piacra a megtaláló. A fórumszálat azóta törölték, feltételezhetően a hirdetés felkeltette az érdeklődők figyelmét és esélyes, hogy a hiba már el is kelt.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A Java biztonságával kapcsolatos zűrzavart igyekeznek a támadók is felhasználni. A Trend Micro blogja arról számol be, hogy megjelentek hamis Java-frissítésnek álcázott kártevők, amelyek telepítés után zárolják és túszul ejtik a felhasználó számítógépét, adatait. A biztonsági cég által megvizsgált kártevő ugyanakkor nem működött tökéletesen, a zsarolást bejelentő és a pénzt követelő weboldalt nem jeleníti meg, így a felhasználó csak egy üres böngészőablakot kap.

Kell az Oracle-nek néhány százmillió felhasználó?

A Java biztonsági problémái mostmár rendszeresen visszatérő vendégei a szakmai médiának, ennek fényében nem meglepő, hogy egyre többen szólítanak fel a Java eltávolítására, amennyiben nem elengedhetetlen a futtatókörnyezet jelenléte. Az Oracle nagyvállalati szoftverekben utazik, számukra a Java elsősorban az ezek futtatásához szükséges platform. A Sun 2010-es felvásárlásával azonban a cég hirtelen néhány százmillió felhasználó számítógépén találta magát, ennek a helyzetnek a következményeire azonban csak lassan kezdenek ráeszmélni - a vállalati szoftverek biztonsági követelményei alapvetően eltérnek a nagyon széles körben használt felhasználói szoftverekéitől.

A platform kódjának minősége aggodalomra ad okot Gowdiak szerint és egyelőre Secure Development Lifecycle-t, azaz biztonságot elsősorban szem előtt tartó fejlesztési metódust sem implementált az Oracle ennek kijavítására. Ugyan az utolsó (mint kiderült, részleges) frissítést mindössze négy nap alatt kiadta a szoftverház, egyelőre kevés jele van annak, hogy az Oracle szeretné megtartani ezt a széles felhasználói bázist.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról