Minecraft 1.16 Survival Ep7 | The Pumpkin Patch
A biztonsági kutatások pénteken jelentették be az Oracle biztonsági résszel és a koncepció alapú kizsákmányolással, Adam Gowdiak, a biztonsági cég alapítója és vezérigazgatója pénteken e-mailben elmondta.
A cég nem Nem szándékozik nyilvánosságra hozni a sebezhetőségre vonatkozó technikai részleteket, amíg az Oracle nem foglalkozik azzal.
[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a a Windows PC]
Az Oracle csütörtökön kitört a rendszeres négy hónapos javítási ciklusáról, és kiadta a Java 7 Update 7-et, amely biztonsági réseket tartalmazott, amelyek három sérülékenységet érintettek, köztük kettőt, amelyeket a támadók kihasználták a fertőzött számítógépek fertőzésére a múlt héten.A Java 7 Update 7 egy olyan "biztonsági mélységű problémát" is készített, amely az Oracle szerint nem volt közvetlenül kihasználható, de fel lehetne használni más sebezhetőségek hatását is.
A javítás a Gowdiak "exploitation vector" -ként "kihasználási vektor" -nak nevezte ki a lengyel biztonsági cég által az Oracle-hez korábban benyújtott, a Java Virtual Machine (JVM) biztonsági bypass exploiteket , a Gowdiak szerint a Security Explorations április 29-én magánszemélyenként bejelentette a Java 7-nek az Oracle-nek a sérülékenységét, köztük a kettőt, amelyeket a támadók aktívan kihasználtak.
A jelentésekhez összesen 16, a-conce pt exploit, amely ezeket a biztonsági réseket összekapcsolta, hogy teljes mértékben megkerülje a Java sandboxot, és tetszőleges kódot futtathasson az alapul szolgáló rendszeren.
A getField és getMethod módszerek eltávolítása a sun.awt.SunToolkit osztály Java 7 Update 7 alkalmazásából a biztonsági felfedezések "PoC" kihasználja, "mondta Gowdiak.
Ez azonban csak azért történt, mert a" kizsákmányolási vektort "eltávolították, nem azért, mert a kizsákmányolások által megcélzott összes sebezhetőséget feltörték. A Java 7 7-es frissítésének feltérképezése egyes olyan biztonsági résekkel kombinálható, amelyeket az Oracle nem sikerült elérni ahhoz, hogy teljes JVM homokozó bypassot érjen el.
"Miután megállapítottam, hogy a teljes Java sandbox-bypass kódok nem működnek a frissítés alkalmazása után, újra megnézte a POC kódokat, és elkezdett gondolkodni arról, hogy hogyan lehet teljesen újra megtörni a legújabb Java frissítést "- mondta Gowdiak. "Egy új elképzelés jött be, ellenőrizték, és kiderült, hogy ez volt az."
Gowdiak nem tudja, mikor tervezi az Oracle az áprilisban vagy a biztonsági cég által benyújtott biztonsági kutatások
Nem világos, hogy az Oracle egy új Java biztonsági frissítést adott ki októberben, ahogy korábban tervezte. A vállalat nem adott utólag egy megjegyzésre vonatkozó kérelmet.
A biztonsági kutatók mindig figyelmeztették, hogy ha a gyártók túl sok időt vesz igénybe a bejelentett sebezhetőség kezelésére, akkor a rosszfiúk időközben felfedezhetik, ha még nem tudják kb.
Többször is történt, hogy a különböző hibagyulladók ugyanazon terméken belül ugyanazt a sebezhetőséget felfedezzék függetlenül, és ez megtörtént ugyanis a két, aktívan kihasznált Java javítócsomag esetében, amelyekre a Java 7 Update 7.
"A független felfedezéseket soha nem lehet kizárni" - mondta Gowdiak. "Ez az egyedi probléma [az új biztonsági rés] azonban egy kicsit nehezebb megtalálni."
A biztonsági kutatások tapasztalatai alapján a Java 6 biztonsági szempontból jóval nagyobb biztonságot nyújt, mint a Java 7. "A Java 7 meglepően sokkal könnyebb volt megszakítani" - mondta Gowdiak. "A Java 6 esetében nem sikerült teljes sandbox-kompromisszumot elérni, kivéve az Apple Quicktime for Java szoftverben felfedezett problémát."
Gowdiak visszhangzott, amit sok biztonsági kutató mondott korábban: Ha nincs szüksége Java, távolítsa el a rendszerből.
A kutatók kritikus sebezhetőséget találnak a Java 7 Patch Hours kiadása után
Biztonsági kutatók a lengyel székhelyű biztonsági cégtől A Security Explorations azt állítja, A biztonsági kutatások biztonsági kutatói a lengyelországi biztonsági cég biztonsági szakértőitől azt állítják, hogy felfedezték a Java 7 biztonsági frissítésének olyan sérülékenységét, amelyet megjelentek, és amely kihasználható a Java homokzsák elhagyására és tetszőleges kód végrehajtására az alapul szolgáló rendszeren.
A kutatók kritikus sebezhetőséget találnak a Java 7 Patch Hours kiadása után
Az új biztonsági rés lehetővé teszi a teljes Java Virtual Machine sandbox escape-ot a Java 7 Update 7, a biztonsági kutatások kutatói szerint.