CDR SecUpdate za 3. týden - Java dostává další zásah - nové chyby v 7 Update 11
Vítejte u dalšího dílu CDR SecUpdate - pro třetí týden 2013. Dnes jsou na programu opět další chyby v Javě, které se nyní stávají noční můrou bezpečnostních expertů a sysadminů. Adam Gowdiak a jeho tým totiž objevil v podobném stylu jako v srpnu další chyby v celosvětově rozšířené platformě od Oraclu.
Chyby v softwaru
Java - zranitelnosti nultého dne
Týká se verzí: Java 7 Update 11
Upozornění: Pokud pracujete v psychiatrické léčebně, očekávajte v následujících dnech časté návštěvy systémových administrátorů.
Minulý týden jsme informovali o novoroční chybě v Javě, která umožňovala nejrůznějším útočníkům získat plný vzdálený přístup k systému oběti. Oracle zareagoval kupodivu poměrně rychle a v noci na minulé pondělí vydal aktualizaci 7 update 11. Jinde by to byl konec příběhu, ne však u Javy.
Již pár hodin po vydání patche Esteban Guillardoy z Immunity hlásal, že záplata opravuje pouze jednu ze dvou kritických chyb a pro znalého útočníka nebude problém se do Javy dostat v kombinaci s jinou dírou. Pro Oracle nechvalně známá firma Security Explorations, která se dlouhodobě zabývá slabými místy v platformě Java, se podívala na celou věc ještě detailněji a Adam Gowdiak (ano, jako na konci srpna 2012) informoval svět na webu FullDisclosure o dalších dvou chybách, které čekají na zneužití.
"Nechat MBeanInstantiator neopravený byla přímo pozvánka na další hack. Stačilo najít další bug a zkombinovat jej s tím aktuálním. Nakonec jsme se však rozhodli na něj nespoléhat a najít dvě úplně nové chyby." řekl Gowdiak.
Původní exploit (kód zneužívající zranitelnost) z předminulého týdne byl objeven v exploit kitech (BlackHole, Reddit…) po Novém roce. Údajně se dokonce jednalo o novoroční dárek věrným zákazníkům těchto nelegálních nástrojů pro hromadné počítačové útoky.
Java je pro počítačové kriminálníky výhodný podnik, protože běží na všech hlavních platformách a hacker tak nemusí přepisovat kód pro jednotlivé systémy. Současně s tím je velmi rozšířená - Javu používá přes miliardu zařízení celosvětově (v počítačových systémech to budou stovky miliónů).
Java svým nedostatkem bezpečnosti mění i průmysl penetračního testování. Nejrychlejší dveře do obvyklého systému býval Internet Explorer a Adobe Reader, dnes je to platforma Oraclu.
Doporučené chování
Opět pokud chcete mít opravdu jistotu, Javu zakažte v prohlížeči. Můžete Javu také zakázat globálně v systému jedním klikem přes Ovládací panel (Java Control panel - javacpl.exe). Další možnost je zakázat zásuvný modul v prohlížeči, pro oba případy Oracle vydal návod.
Například Mozilla Firefox vydala automaticky k Java doplňku varování o výše zmíněných zranitelnostech a doporučuje použití s dávkou opatrnosti. Včera se mi dokonce zdálo, že i přes povolení používat Javu ji implicitně zakáže.
Banky reagují a doporučují alespoň aktualizaci na nejnovější verzi (co jim také zbývá, když bankovnictví běží na Javě).
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.