A kutatók kritikus sebezhetőséget találnak a Java 7 Patch Hours kiadása után

A biztonsági kutatások pénteken jelentették be az Oracle biztonsági résszel és a koncepció alapú kizsákmányolással, Adam Gowdiak, a biztonsági cég alapítója és vezérigazgatója pénteken e-mailben elmondta.

A cég nem Nem szándékozik nyilvánosságra hozni a sebezhetőségre vonatkozó technikai részleteket, amíg az Oracle nem foglalkozik azzal.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a a Windows PC]

Az Oracle csütörtökön kitört a rendszeres négy hónapos javítási ciklusáról, és kiadta a Java 7 Update 7-et, amely biztonsági réseket tartalmazott, amelyek három sérülékenységet érintettek, köztük kettőt, amelyeket a támadók kihasználták a fertőzött számítógépek fertőzésére a múlt héten.

A Java 7 Update 7 egy olyan "biztonsági mélységű problémát" is készített, amely az Oracle szerint nem volt közvetlenül kihasználható, de fel lehetne használni más sebezhetőségek hatását is.

A javítás a Gowdiak "exploitation vector" -ként "kihasználási vektor" -nak nevezte ki a lengyel biztonsági cég által az Oracle-hez korábban benyújtott, a Java Virtual Machine (JVM) biztonsági bypass exploiteket , a Gowdiak szerint a Security Explorations április 29-én magánszemélyenként bejelentette a Java 7-nek az Oracle-nek a sérülékenységét, köztük a kettőt, amelyeket a támadók aktívan kihasználtak.

A jelentésekhez összesen 16, a-conce pt exploit, amely ezeket a biztonsági réseket összekapcsolta, hogy teljes mértékben megkerülje a Java sandboxot, és tetszőleges kódot futtathasson az alapul szolgáló rendszeren.

A getField és getMethod módszerek eltávolítása a sun.awt.SunToolkit osztály Java 7 Update 7 alkalmazásából a biztonsági felfedezések "PoC" kihasználja, "mondta Gowdiak.

Ez azonban csak azért történt, mert a" kizsákmányolási vektort "eltávolították, nem azért, mert a kizsákmányolások által megcélzott összes sebezhetőséget feltörték. A Java 7 7-es frissítésének feltérképezése egyes olyan biztonsági résekkel kombinálható, amelyeket az Oracle nem sikerült elérni ahhoz, hogy teljes JVM homokozó bypassot érjen el.

"Miután megállapítottam, hogy a teljes Java sandbox-bypass kódok nem működnek a frissítés alkalmazása után, újra megnézte a POC kódokat, és elkezdett gondolkodni arról, hogy hogyan lehet teljesen újra megtörni a legújabb Java frissítést "- mondta Gowdiak. "Egy új elképzelés jött be, ellenőrizték, és kiderült, hogy ez volt az."

Gowdiak nem tudja, mikor tervezi az Oracle az áprilisban vagy a biztonsági cég által benyújtott biztonsági kutatások

Nem világos, hogy az Oracle egy új Java biztonsági frissítést adott ki októberben, ahogy korábban tervezte. A vállalat nem adott utólag egy megjegyzésre vonatkozó kérelmet.

A biztonsági kutatók mindig figyelmeztették, hogy ha a gyártók túl sok időt vesz igénybe a bejelentett sebezhetőség kezelésére, akkor a rosszfiúk időközben felfedezhetik, ha még nem tudják kb.

Többször is történt, hogy a különböző hibagyulladók ugyanazon terméken belül ugyanazt a sebezhetőséget felfedezzék függetlenül, és ez megtörtént ugyanis a két, aktívan kihasznált Java javítócsomag esetében, amelyekre a Java 7 Update 7.

"A független felfedezéseket soha nem lehet kizárni" - mondta Gowdiak. "Ez az egyedi probléma [az új biztonsági rés] azonban egy kicsit nehezebb megtalálni."

A biztonsági kutatások tapasztalatai alapján a Java 6 biztonsági szempontból jóval nagyobb biztonságot nyújt, mint a Java 7. "A Java 7 meglepően sokkal könnyebb volt megszakítani" - mondta Gowdiak. "A Java 6 esetében nem sikerült teljes sandbox-kompromisszumot elérni, kivéve az Apple Quicktime for Java szoftverben felfedezett problémát."

Gowdiak visszhangzott, amit sok biztonsági kutató mondott korábban: Ha nincs szüksége Java, távolítsa el a rendszerből.