CDR.cz - Vybráno z IT

CDR SecUpdate za 3. týden - Java dostává další zásah - nové chyby v 7 Update 11

crazy-java
Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.

Vítejte u dalšího dílu CDR SecUpdate - pro třetí týden 2013. Dnes jsou na programu opět další chyby v Javě, které se nyní stávají noční můrou bezpečnostních expertů a sysadminů. Adam Gowdiak a jeho tým totiž objevil v podobném stylu jako v srpnu další chyby v celosvětově rozšířené platformě od Oraclu.

Chyby v softwaru

Java - zranitelnosti nultého dne

Týká se verzí: Java 7 Update 11

Upozornění: Pokud pracujete v psychiatrické léčebně, očekávajte v následujících dnech časté návštěvy systémových administrátorů. 

Minulý týden jsme informovali o novoroční chybě v Javě, která umožňovala nejrůznějším útočníkům získat plný vzdálený přístup k systému oběti. Oracle zareagoval kupodivu poměrně rychle a v noci na minulé pondělí vydal aktualizaci 7 update 11. Jinde by to byl konec příběhu, ne však u Javy.

Již pár hodin po vydání patche Esteban Guillardoy z Immunity hlásal, že záplata opravuje pouze jednu ze dvou kritických chyb a pro znalého útočníka nebude problém se do Javy dostat v kombinaci s jinou dírou. Pro Oracle nechvalně známá firma Security Explorations, která se dlouhodobě zabývá slabými místy v platformě Java, se podívala na celou věc ještě detailněji a Adam Gowdiak (ano, jako na konci srpna 2012) informoval svět na webu FullDisclosure o dalších dvou chybách, které čekají na zneužití.

"Nechat MBeanInstantiator neopravený byla přímo pozvánka na další hack. Stačilo najít další bug a zkombinovat jej s tím aktuálním. Nakonec jsme se však rozhodli na něj nespoléhat a najít dvě úplně nové chyby." řekl Gowdiak.

gowdiak

Původní exploit (kód zneužívající zranitelnost) z předminulého týdne byl objeven v exploit kitech (BlackHole, Reddit…) po Novém roce. Údajně se dokonce jednalo o novoroční dárek věrným zákazníkům těchto nelegálních nástrojů pro hromadné počítačové útoky.

Java je pro počítačové kriminálníky výhodný podnik, protože běží na všech hlavních platformách a hacker tak nemusí přepisovat kód pro jednotlivé systémy. Současně s tím je velmi rozšířená - Javu používá přes miliardu zařízení celosvětově (v počítačových systémech to budou stovky miliónů). 

Java svým nedostatkem bezpečnosti mění i průmysl penetračního testování. Nejrychlejší dveře do obvyklého systému býval Internet Explorer a Adobe Reader, dnes je to platforma Oraclu. 

Doporučené chování

Opět pokud chcete mít opravdu jistotu, Javu zakažte v prohlížeči. Můžete Javu také zakázat globálně v systému jedním klikem přes Ovládací panel (Java Control panel - javacpl.exe). Další možnost je zakázat zásuvný modul v prohlížeči, pro oba případy Oracle vydal návod.

firefox-java

Například Mozilla Firefox vydala automaticky k Java doplňku varování o výše zmíněných zranitelnostech a doporučuje použití s dávkou opatrnosti. Včera se mi dokonce zdálo, že i přes povolení používat Javu ji implicitně zakáže.

Banky reagují a doporučují alespoň aktualizaci na nejnovější verzi (co jim také zbývá, když bankovnictví běží na Javě).

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Tagy: 
Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 3. týden - Java dostává další zásah - nové chyby v 7 Update 11

Čtvrtek, 7 Únor 2013 - 17:26 | Harry | Pracují na přechodu na čistý JS.
Středa, 23 Leden 2013 - 15:37 | Máček333 | Tak hlásím úspěch (mám tedy WXPP), který se...
Středa, 23 Leden 2013 - 14:03 | BTJ | Hehe ja presne to same, 17.0.1 i 18.0.1:o) Na...
Středa, 23 Leden 2013 - 13:59 | Máček333 | Tak vás "potěším", odhodlal jsem se k...
Úterý, 22 Leden 2013 - 20:21 | Alexandra Stanovska | Tiez ju niekolko ... snad uz aj rokov nemam. Zato...
Úterý, 22 Leden 2013 - 16:12 | HKMaly | Microsoft nikdy Javu nevyvijel. Vyvijel jen neco...
Úterý, 22 Leden 2013 - 11:25 | BTJ | No je mozne, ze to neco necemu vadi. Zmizlo mi to...
Úterý, 22 Leden 2013 - 10:40 | Rudolf Dvořáček | Já jsem se rozhodl z počítače Javu odinstalovat a...
Úterý, 22 Leden 2013 - 01:35 | Tomáš Janovský | Myslím, že kdo měl kdy co dočinění se "...
Pondělí, 21 Leden 2013 - 22:08 | Milan Tomka | Ja si minule kvuli vam konecne skontroloval Javu...

Zobrazit diskusi