30.08.2012 | 10:27

Adam Haertle

To Polak odkrył i zgłosił w kwietniu najnowsze błędy 0day w Javie

Ujawnione kilka dni temu błędy w Javie, umożliwiające uzyskanie kontroli nad komputerem użytkownika, który odwiedził zainfekowaną stronę, znane były Oraclowi co najmniej od kwietnia tego roku. Wtedy bowiem zaraportował je Adam Gowdiak.

W marcu tego roku opisywaliśmy, jak były członek grupy Last Stage of Delirium a obecnie właściciel firmy Security Explorations, Adam Gowdiak, pokonał zabezpieczenia dekoderów telewizji N. Aby jednak dostać się do dekoderów, musiał najpierw znaleźć luki w Javie, pod kontrolą której pracują urządzenia. Znalazł ich w sumie… 31! Wszystkie zgłosił producentowi oprogramowania, wraz z przykładami 16 różnych metod pokonania „piaskownicy” Javy. Szczegółowy opis swoich odkryć przedstawił na konferencji HITB, z której prezentacje możecie obejrzeć tutaj.

Jak się właśnie dowiadujemy, wśród pierwszych 19 błędów zgłoszonych 2 kwietnia 2012 były również dwa problemy, wykorzystywane obecnie przez najnowsze paczki exploitów. Adam Gowdiak podkreśla, że wzajemne powiązanie dwóch błędów nie jest odwzorowaniem jego metody ich wykorzystania, co może oznaczać, że błędy te zostały odkryte niezależnie od jego zgłoszenia.

Oracle, w przeciwieństwie do większości dostawców oprogramowania, bardzo rzadko wydaje krytyczne łaty, trzymając się swojego stałego harmonogramu 4 aktualizacji rocznie. Z 31 dziur w Javie zgłoszonych przez polskiego badacza do tej pory Oracle załatał jedynie 3 w czerwcowej aktualizacji. 19 kolejnych (w tym dwie aktywnie wykorzystywane przez włamywaczy) ma zostać załatanych w październikowej paczce, a pozostałe prawdopodobnie w lutym 2013.

Biorąc pod uwagę podejście Oracle do wydawania aktualizacji proponujemy nie czekać, tylko wyłączyć Javę, nim będzie za późno. Tutaj możecie sprawdzić, czy Wasza wersja Javy jest podatna na błędy wykorzystywane obecnie z dużą skutecznością w aktywnych atakach.

Poniżej znajdziecie instrukcje wyłączania Javy dla poszczególnych przeglądarek autorstwa Sophosa:

Aktualizacja: Oracle jednak zdecydowal się w końcu opublikować łaty poza zwyczajowym harmonogramem.

Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

To Polak odkrył i zgłosił w kwietniu najnowsze błędy 0day w Javie

Komentarze