Naukowcy odkrywają krytyczną lukę w łatce Java 7 po wydaniu

Badacze bezpieczeństwa z polskiej firmy ochroniarskiej Security Explorations twierdzą, że odkryli lukę w aktualizacji zabezpieczeń Java 7 wydanej w czwartek, którą można wykorzystać do ucieczki z piaskownicy Java i wykonania niepożądanego kodu w sprawie systemu bazowego.

Security Explorations wysłało w piątek raport dotyczący podatności na lukę w Oracle wraz z exploitem wykorzystującym proof-of-concept, Adam Gowdiak, założyciel i CEO firmy ochroniarskiej, powiedział w piątek za pośrednictwem poczty elektronicznej.

Firma nie "Zamierzam ujawnić publicznie wszelkie szczegóły techniczne dotyczące tej luki, dopóki Oracle go nie rozwiąże, powiedział Gowdiak.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z systemem Windows]

Oracle wyłamało się ze swojego regularnego czteromiesięcznego cyklu poprawek w czwartek, aby wypuścić aktualizację Java 7 Update 7, awaryjną aktualizację zabezpieczeń, która rozwiązała trzy luki, w tym dwie, które zostały wykorzystane przez intruzów do infekowania komputerów złośliwym oprogramowaniem, ponieważ w zeszłym tygodniu.

Java 7 Update 7 również załatała "problem bezpieczeństwa z głębiami", który, według Oracle, nie był bezpośrednio wykorzystywany, ale mógł zostać wykorzystany do zaostrzenia wpływu innych słabych punktów.

Poprawki tej "kwestii bezpieczeństwa dogłębnej", którą Gowdiak nazywa "wektorem eksploatacyjnym", sprawiło, że wszystkie zabezpieczenia wirtualnej maszyny wirtualnej (JVM) typu "proof-of-concept" (PoV) pomijają exploity, które zostały wcześniej przesłane przez firmę zabezpieczającą do Oracle. , nieskuteczne.

Według Gowdiaka Security Explorations prywatnie zgłosiło 29 luk w zabezpieczeniach Java 7 firmie Oracle w kwietniu, w tym dwa, które są obecnie aktywnie wykorzystywane przez napastników.

Sprawozdaniom towarzyszyło łącznie 16 dowodów z-conce exploity pt, które połączyły te luki, aby w pełni ominąć piaskownicę Java i wykonać dowolny kod w systemie bazowym.

Usunięcie metod getField i getMethod z implementacji klasy sun.awt.SunToolkit w Java 7 Update 7 wyłączone wszystkie Eksplozji PoC Security Explorations, powiedział Gowdiak.

Jednak stało się tak tylko dlatego, że "exploit vector" został usunięty, nie dlatego, że wszystkie luki atakowane przez exploity zostały załatane, powiedział Gowdiak.

Nowa luka odkryta przez Security Explorations in Java 7 Update 7 można połączyć z niektórymi lukami, które pozostały niezapisane przez firmę Oracle, aby ponownie uzyskać pełne obejście sandbox JVM.

"Po stwierdzeniu, że nasze pełne kody obejścia piaskownicy Java przestały działać po zastosowaniu aktualizacji, spojrzał ponownie na kody POC i zaczął myśleć o możliwych sposobach pełnego złamania najnowszej aktualizacji Java, "powiedział Gowdiak. "Pojawił się nowy pomysł, został zweryfikowany i okazało się, że to wszystko."

Gowdiak nie wie, kiedy Oracle planuje zająć się pozostałymi lukami zgłoszonymi przez Security Explorations w kwietniu lub nową zgłoszoną przez firmę ochroniarską w piątek.

Nie jest jasne, czy Oracle wyda nową aktualizację zabezpieczeń Java w październiku, jak wcześniej planowano. Firma nie zwróciła natychmiast prośby o komentarz.

Badacze bezpieczeństwa zawsze ostrzegali, że jeśli dostawcy zajmą zbyt wiele czasu, aby zająć się zgłoszoną luką, mogą zostać odkryci przez złych w międzyczasie, jeśli jeszcze nie wiedzą o tym.

Wielu użytkownikom błędów wielokrotnie odkrywało tę samą lukę w tym samym produkcie i tak też mogło się stać w przypadku dwóch aktywnie wykorzystanych luk w Javie, do których odnosiła się Java 7 Update 7.

"Niezależnych odkryć nigdy nie można wykluczyć," powiedział Gowdiak. "Ten konkretny problem [nowa luka] może być jednak trudniejszy do znalezienia."

Bazując na doświadczeniach badaczy Security Explorations z polowaniami na luki w Javie, Java 6 ma lepsze zabezpieczenia niż Java 7. "Java 7 była o wiele łatwiejsza do złamania" - powiedział Gowdiak. "W przypadku języka Java 6 nie udało nam się osiągnąć kompromisu z pełnym środowiskiem piaskownicy, z wyjątkiem problemu wykrytego w oprogramowaniu Apple Quicktime dla oprogramowania Java."

Gowdiak powtórzył to, co wielu badaczy bezpieczeństwa już wcześniej powiedział: Jeśli nie potrzebujesz Java, odinstaluj go ze swojego systemu.