Dziura w najnowszej aktualizacji Javy – kolejna kompromitacja Oracla

Najpierw okazało się, że Oracle wiedział o błędach w Javie od kwietnia. Potem wydał poprawkę, ale dopiero po 4 dniach od ujawnienia krążących po sieci exploitów. Teraz okazuje się, że w wydanej poprawce znalazły się nowe błędy.

Adam Gowdiak, polski specjalista ds. bezpieczeństwa, który zgłosił w kwietniu Oraclowi kilkanaście krytycznych błędów w Javie, w tym dwa, użyte w niedawnych atakach na internautów, nie spoczywa na laurach. Jego firma Security Exploration wzięła pod lupę najnowszą, wydaną wczoraj poprawkę Oracla.

Aktualizacja Javy wyeliminowała możliwość stosowania metody ataku, opisanej przez Polaka i wykorzystanej w 16 zgłoszonych przykładach możliwości wyjścia z ograniczonego środowiska wykonywalnego Javy. Oracle usunął metody getField oraz getMethod z klasy sun.awt.SunToolkit. Skutkiem tej zmiany było również unieszkodliwienie różnych wariantów exploita, krążącego od kilku dni po sieci.

Jak jednak szybko odkrył Gowdiak, wprowadzone zmiany spowodowały powstanie nowych błędów, które w połączeniu z innymi, ciągle nie załatanymi dziurami, umożliwiają ponownie ominięcie zabezpieczeń „piaskownicy” Javy. Szczegóły odkrycia zostały przekazane Oraclowi w kolejnym raporcie, jednak jak zwykle nie wiadomo, kiedy problem zostanie usunięty. Niewykluczone, że znowu będziemy musieli czekać, aż błędy zostaną ponownie odkryte przez Chińczyków i wykorzystane w atakach na internautów. Chyba, że Oracle w końcu zatrudni firmę Gowdiaka…