Szerző: Gálffy Csaba

2013. április 24. 16:20

Továbbra is támadható a Java

Az Oracle drákói intézkedésének köszönhetően már nem kritikus a Java legújabb biztonsági hibája. A Server JRE is érintett.

Újabb, potenciálisan súlyos biztonsági rést talált a lengyel Security Explorations a Javában. Az új sérülékenység kihasználásával lehetőség van kitörni a sandboxból és elérni a rendszert. A hiba részleteit a biztonsági cég nem ismertette, de a Full Disclosure levelezőlistán közzétett bejelentés szerint leírását és a kihasználó mintakódot eljuttatta az Oracle-hez.

A friss Server JRE is

A hiba igazi jelentőségét az adja, hogy nem csak a Java Runtime Environment és annak böngészős beépülő modulja tartalmazza, hanem a Server JRE is, vagyis a sebezhetőségen keresztül a szerveroldalon futó Java SE-t is meg lehet támadni. A Server JRE a Java SE új, frissen megjelent kiadása, amely a futtatókörnyezetet szerveroldalon is elérhetővé teszi, Solaris, Windows és Linux platformokon. A Server JRE nem tartalmaz telepítő, frissítő és böngészőplugin elemeket, így értelemszerűen csupán webes applet segítségével a hiba nem használható ki.

A biztonsági rés önmagában szerencsére nem a legsúlyosabbak közé tartozik, Adan Gowdiak, a Security Explorations szakembere szerint felugrik a nem biztonságos Java appletre figyelmeztető párbeszédablak, tehát a kód csak a felhasználó aktív beleegyezésével futhat le. Ennek megfelelően a legsúlyosabb, egyetlen weboldal megnyitásával, interakció nélkül lefutó támadások lehetetlenek - ez a Microsoft nevezéktana szerint már nem is számít kritikus hibának.

Miért a Go a legjobban vágyott programozási nyelv? (x)

A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

Miért a Go a legjobban vágyott programozási nyelv? (x) A HackerRank 2020-as kutatása szerint a legtöbb fejlesztő a Go-t tanulja majd meg legújabb nyelvének - nézzük miért!

A bejelentés szerint a hiba a Java 7 eddigi összes verziójában megtalálható, így a legutolsó, múlt héten kiadott 1.7.0_21-b11 kiadásban is. A hiba a már sokszor támadott Reflection API-ban bújuk meg, amely futás közben képes módosítani a Java VM-en futó alkalmazás viselkedését. Az Oracle jellemzése szerint az API nagyon erős eszköz a fejlesztő kezében, a futás közben átalakuló alkalmazás azonban biztonsági szempontból komoly problémát jelent, a programozási hibák pedig könnyen kritikus sebezhetőséggé lépnek elő.

Egyelőre nincs dráma

A Java nem abban különbözik a többi szoftvertől, hogy biztonsági réseket tartalmaz. Az Oracle-féle futtatókörnyezetet az tette különösen veszélyessé, hogy a nyíltan kihasznált hibákra is késve, hetekkel-hónapokkal a támadások beindulása után adta ki a frissítést a cég, miközben a Java beépülő plugint használó számítógépek támadhatóak maradtak. A felhasználók haragját az a gyakorlat is kivívta, hogy a szükséges biztonsági frissítések telepítőcsomagja minden egyes alkalommal alapértelmezésben telepíteni kívánja az Ask.com böngészős eszköztárat. Ez biztonsági frissítések esetében rendkívül szokatlan (mondhatni cinikus), a gyakori javítások miatt pedig igen sűrűn is kell letiltani ezt.

Előfizetési lehetőség a NetAcademia és a Training360 mind a 600 online tanfolyamára 1 éven át 1 tanfolyam áráért. Siess, ez az őrült ajánlat csak október 31-ig él!

a címlapról