Vítejte u dalšího dílu CDR SecUpdate - pro třetí týden 2013. Dnes jsou na programu opět další chyby v Javě, které se nyní stávají noční můrou bezpečnostních expertů a sysadminů. Adam Gowdiak a jeho tým totiž objevil v podobném stylu jako v srpnu další chyby v celosvětově rozšířené platformě od Oraclu.

Chyby v softwaru

Java - zranitelnosti nultého dne

Týká se verzí: Java 7 Update 11

Upozornění: Pokud pracujete v psychiatrické léčebně, očekávajte v následujících dnech časté návštěvy systémových administrátorů. 

Minulý týden jsme informovali o novoroční chybě v Javě, která umožňovala nejrůznějším útočníkům získat plný vzdálený přístup k systému oběti. Oracle zareagoval kupodivu poměrně rychle a v noci na minulé pondělí vydal aktualizaci 7 update 11. Jinde by to byl konec příběhu, ne však u Javy.

Již pár hodin po vydání patche Esteban Guillardoy z Immunity hlásal, že záplata opravuje pouze jednu ze dvou kritických chyb a pro znalého útočníka nebude problém se do Javy dostat v kombinaci s jinou dírou. Pro Oracle nechvalně známá firma Security Explorations, která se dlouhodobě zabývá slabými místy v platformě Java, se podívala na celou věc ještě detailněji a Adam Gowdiak (ano, jako na konci srpna 2012) informoval svět na webu FullDisclosure o dalších dvou chybách, které čekají na zneužití.

"Nechat MBeanInstantiator neopravený byla přímo pozvánka na další hack. Stačilo najít další bug a zkombinovat jej s tím aktuálním. Nakonec jsme se však rozhodli na něj nespoléhat a najít dvě úplně nové chyby." řekl Gowdiak.

Původní exploit (kód zneužívající zranitelnost) z předminulého týdne byl objeven v exploit kitech (BlackHole, Reddit…) po Novém roce. Údajně se dokonce jednalo o novoroční dárek věrným zákazníkům těchto nelegálních nástrojů pro hromadné počítačové útoky.

Java je pro počítačové kriminálníky výhodný podnik, protože běží na všech hlavních platformách a hacker tak nemusí přepisovat kód pro jednotlivé systémy. Současně s tím je velmi rozšířená - Javu používá přes miliardu zařízení celosvětově (v počítačových systémech to budou stovky miliónů). 

Java svým nedostatkem bezpečnosti mění i průmysl penetračního testování. Nejrychlejší dveře do obvyklého systému býval Internet Explorer a Adobe Reader, dnes je to platforma Oraclu. 

Doporučené chování

Opět pokud chcete mít opravdu jistotu, Javu zakažte v prohlížeči. Můžete Javu také zakázat globálně v systému jedním klikem přes Ovládací panel (Java Control panel - javacpl.exe). Další možnost je zakázat zásuvný modul v prohlížeči, pro oba případy Oracle vydal návod.

Například Mozilla Firefox vydala automaticky k Java doplňku varování o výše zmíněných zranitelnostech a doporučuje použití s dávkou opatrnosti. Včera se mi dokonce zdálo, že i přes povolení používat Javu ji implicitně zakáže.

Banky reagují a doporučují alespoň aktualizaci na nejnovější verzi (co jim také zbývá, když bankovnictví běží na Javě).

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Java 2013 - nově objevené chyby a jak se bránit útokům

• Eva Dvořáková útočí - úspěšný hoax pod lupou

• Vánoční CDR SecUpdate - Chyba v Samsung Galaxy S III

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace