Wiadomości
Poważny błąd w Javie - patcha na razie brak
12 kwietnia 2010 11:42,
securitystandard
Tavis Ormandy, ceniony specjalista ds. bezpieczeństwa (zatrudniony w koncernie Google) opublikował szczegółowy raport na temat poważnego błędu występującego w wirtualnej maszynie Java (JVM). Odpowiednio wykorzystana luka może zostać wykorzystana do uruchomienia w systemie złośliwego kodu i przejęcia kontroli nad maszyną.
Decyzja o opublikowaniu szczegółowych informacji na temat problemu może wydawać się niespecjalnie rozsądna - ale Ormandy tłumaczy, że znacznie wcześniej poinformował o problemie pracowników koncernu Oracle (który niedawno przejął firmę Sun Microsystems, odpowiedzialną za Javę) - a ci oświadczyli mu, że poprawki na razie nie będzie. "Ludzie z Oracle stwierdzili, że ta luka nie jest na tyle poważna, by z jej powodu mieli naruszać swój sztywny terminarz łatania [koncern udostępnia poprawki dla swoich produktów raz na kwartał - red.]. Moim zdaniem nie mają racji" - komentuje Tavis Ormandy.
Oracle na razie nie komentuje tych informacji. Warto jednak przypomnieć, że najnowszy pakiet poprawek firmy pojawił się zaledwie kilka dni temu - a to znaczy, że o ile koncern nie zmieni stanowiska w kwestii najnowszego błędu, to uaktualnienia dla Javy należy się spodziewać dopiero za trzy miesiące (czyli na początku lipca).
Z informacji udostępnionych przez Ormandy'ego wynika, że luka umożliwia nieautoryzowanemu użytkownikowi uruchamianie w zaatakowanym systemie dowolnych aplikacji napisanych w Javie. Jest to możliwe, ponieważ JVM umożliwia programistom tworzącym aplikacje w tym środowisku automatyczne instalowanie dodatkowych bibliotek Java - można więc stworzyć "złośliwą" bilbliotekę i bez problemów uruchomić ją w systemie.
Tavis Ormandy podkreśla, że błąd jest poważny i powinien zostać możliwie jak najszybciej poprawiony. Nie jest w tej opinii odosobniony - tego samego zdania jest m.in. Marc Maiffret, specjalista ds. bezpieczeństwa z firmy FireEye.
Sprawa jest o tyle poważna - i skomplikowana - iż problem znaleziony przez pracownika Google nie jest typową dziurą w zabezpieczeniach (będącą np. skutkiem błędu programistycznego). To raczej ogólny błąd projektowy popełniony przez autorów Java Virtual Machine - a to oznacza, że jego usunięcie będzie znacznie trudniejsze niż w przypadku klasycznych luk. Być może to właśnie dlatego Oracle nie spieszy się z łataniem.
Inna sprawa, że zagrożenie na razie nie wydaje się zbyt duże - ataki wykorzystujące luki w Javie były dość częste przed kilkoma laty, ale obecnie są rzadkością. Ostatnio przestępcy wolą wykorzystywać raczej błędy w innym popularnym oprogramowaniu - np. przeglądarkach internetowych (głównie Internet Explorerze oraz Firefoksie - bo to dwie najpopularniejsze aplikacje tego typu) czy aplikacjach w stylu Adobe Readera (to wyjątkowo "wdzięczny" cel, bo w programie wciąż znajdowane są kolejne poważne luki).
Warto podkreślić, że problem dotyczy Javy dla Windows od wydania Java SE 6 u. 10. Ale eksperci nie wykluczają, że podatne mogą być również wydania na inne platformy - Symantec sugeruje, że problem dotyczy Linuksa.
Oracle na razie nie komentuje tych informacji. Warto jednak przypomnieć, że najnowszy pakiet poprawek firmy pojawił się zaledwie kilka dni temu - a to znaczy, że o ile koncern nie zmieni stanowiska w kwestii najnowszego błędu, to uaktualnienia dla Javy należy się spodziewać dopiero za trzy miesiące (czyli na początku lipca).
Z informacji udostępnionych przez Ormandy'ego wynika, że luka umożliwia nieautoryzowanemu użytkownikowi uruchamianie w zaatakowanym systemie dowolnych aplikacji napisanych w Javie. Jest to możliwe, ponieważ JVM umożliwia programistom tworzącym aplikacje w tym środowisku automatyczne instalowanie dodatkowych bibliotek Java - można więc stworzyć "złośliwą" bilbliotekę i bez problemów uruchomić ją w systemie.
Tavis Ormandy podkreśla, że błąd jest poważny i powinien zostać możliwie jak najszybciej poprawiony. Nie jest w tej opinii odosobniony - tego samego zdania jest m.in. Marc Maiffret, specjalista ds. bezpieczeństwa z firmy FireEye.
Sprawa jest o tyle poważna - i skomplikowana - iż problem znaleziony przez pracownika Google nie jest typową dziurą w zabezpieczeniach (będącą np. skutkiem błędu programistycznego). To raczej ogólny błąd projektowy popełniony przez autorów Java Virtual Machine - a to oznacza, że jego usunięcie będzie znacznie trudniejsze niż w przypadku klasycznych luk. Być może to właśnie dlatego Oracle nie spieszy się z łataniem.
Inna sprawa, że zagrożenie na razie nie wydaje się zbyt duże - ataki wykorzystujące luki w Javie były dość częste przed kilkoma laty, ale obecnie są rzadkością. Ostatnio przestępcy wolą wykorzystywać raczej błędy w innym popularnym oprogramowaniu - np. przeglądarkach internetowych (głównie Internet Explorerze oraz Firefoksie - bo to dwie najpopularniejsze aplikacje tego typu) czy aplikacjach w stylu Adobe Readera (to wyjątkowo "wdzięczny" cel, bo w programie wciąż znajdowane są kolejne poważne luki).
Warto podkreślić, że problem dotyczy Javy dla Windows od wydania Java SE 6 u. 10. Ale eksperci nie wykluczają, że podatne mogą być również wydania na inne platformy - Symantec sugeruje, że problem dotyczy Linuksa.
Oryginalny tekst został opublikowany na www.computerworld.pl
Komentarze (1)
ten błąd jest by design i nie jest trywialny a jego proste usunięcie wygeneruje różne problemy w istniejących aplikacjach. Tak to jest, że stare czasy przeminęły.
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- MSP: kierunki rozwoju technologii w 2012 roku
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...