Továbbra is támadható a Java
Az Oracle drákói intézkedésének köszönhetően már nem kritikus a Java legújabb biztonsági hibája. A Server JRE is érintett.
Újabb, potenciálisan súlyos biztonsági rést talált a lengyel Security Explorations a Javában. Az új sérülékenység kihasználásával lehetőség van kitörni a sandboxból és elérni a rendszert. A hiba részleteit a biztonsági cég nem ismertette, de a Full Disclosure levelezőlistán közzétett bejelentés szerint leírását és a kihasználó mintakódot eljuttatta az Oracle-hez.
A friss Server JRE is
A hiba igazi jelentőségét az adja, hogy nem csak a Java Runtime Environment és annak böngészős beépülő modulja tartalmazza, hanem a Server JRE is, vagyis a sebezhetőségen keresztül a szerveroldalon futó Java SE-t is meg lehet támadni. A Server JRE a Java SE új, frissen megjelent kiadása, amely a futtatókörnyezetet szerveroldalon is elérhetővé teszi, Solaris, Windows és Linux platformokon. A Server JRE nem tartalmaz telepítő, frissítő és böngészőplugin elemeket, így értelemszerűen csupán webes applet segítségével a hiba nem használható ki.
A biztonsági rés önmagában szerencsére nem a legsúlyosabbak közé tartozik, Adan Gowdiak, a Security Explorations szakembere szerint felugrik a nem biztonságos Java appletre figyelmeztető párbeszédablak, tehát a kód csak a felhasználó aktív beleegyezésével futhat le. Ennek megfelelően a legsúlyosabb, egyetlen weboldal megnyitásával, interakció nélkül lefutó támadások lehetetlenek - ez a Microsoft nevezéktana szerint már nem is számít kritikus hibának.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A bejelentés szerint a hiba a Java 7 eddigi összes verziójában megtalálható, így a legutolsó, múlt héten kiadott 1.7.0_21-b11 kiadásban is. A hiba a már sokszor támadott Reflection API-ban bújuk meg, amely futás közben képes módosítani a Java VM-en futó alkalmazás viselkedését. Az Oracle jellemzése szerint az API nagyon erős eszköz a fejlesztő kezében, a futás közben átalakuló alkalmazás azonban biztonsági szempontból komoly problémát jelent, a programozási hibák pedig könnyen kritikus sebezhetőséggé lépnek elő.
Egyelőre nincs dráma
A Java nem abban különbözik a többi szoftvertől, hogy biztonsági réseket tartalmaz. Az Oracle-féle futtatókörnyezetet az tette különösen veszélyessé, hogy a nyíltan kihasznált hibákra is késve, hetekkel-hónapokkal a támadások beindulása után adta ki a frissítést a cég, miközben a Java beépülő plugint használó számítógépek támadhatóak maradtak. A felhasználók haragját az a gyakorlat is kivívta, hogy a szükséges biztonsági frissítések telepítőcsomagja minden egyes alkalommal alapértelmezésben telepíteni kívánja az Ask.com böngészős eszköztárat. Ez biztonsági frissítések esetében rendkívül szokatlan (mondhatni cinikus), a gyakori javítások miatt pedig igen sűrűn is kell letiltani ezt.