Súlyos sebezhetőség a legújabb Javában
Új sebezhetőséget találtak kutatók a Java 7-ben, amelyet ráadásul már élesben, aktívan ki is használnak támadók. Egyelőre csak a Java teljes eltávolításával tehetjük biztonságossá a számítógépeket.
A Java 7-es verziójában található súlyos biztonsági résre hívják fel a FireEye szakértői a figyelmet. A Java futtatókörnyezetet új verziójában hibás egy osztály megvalósítása, ami lehetővé teszi a letiltott csomagokhoz történő hozzáférést is. A hiba a Java korábbi kiadásaiban is megtalálható, a kihasználáshoz szükséges metódus azonban abban még privátnak, így elérhetetlennek számított a támadó számára.
A hibát kihasználó kód 24 óra alatt be is került a Metasploit keretrendszerbe, így bárki tesztelheti rendszereit a sérülékenységgel szemben - jelenti a Buhera Blog. Az elérhető kód segítségével várhatóan a sérülékenység kihasználása a következő napokban várhatóan széles körben elterjed, ahogy a pénzért megvásárolható támadócsomagok repertoárjába is bekerül a kód. A biztonsági rés támadását ráadásul különösen kifizetődővé teszi, hogy a Javát lassabban frissíti az Oracle és a felhasználók, így számtalan gépen még valószínűleg hónapokig megtalálható lesz a sérülékenység.
A leírások szerint a támadásról a felhasználó gyakorlatilag semmilyen vizuális visszajelzést nem kap, sem a Java, sem a böngészők nem adnak figyelmeztetést a kódfuttatásról. Az egyetlen árulkodó jel, hogy lassabb gépeken a Java betöltődésének idejére felvillanhat az animáció. A Java keresztplatformos jellegének köszönhetően ráadásul az összes nagyobb böngészőn és operációs rendszeren megbízhatóan működik a támadás, az Internet Explorer, a Firefox vagy a Chrome, illetve Windows 7, Windows XP, vagy éppen Ubuntu 12.04 alatt is sebezhetővé teszi a gépet (ez utóbbi esetében csak az alapértelmezett OpenJRE eltávolítása és az Oracle-féle Java feltelepítése után).
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A biztonsági szakértők szerint a Java korábbi, 6-os kiadása mentes ettől a sebezhetőségtől, de az abban található sok egyéb sebezhetőség miatt senki nem ajánlja a downgrade-et. A hiba súlyosságára jellemző, hogy a szakértők nem csak a vállalatok számára, hanem a végfelhasználók számára is a Java teljes eltávolítását ajánlják egyelőre a számítógépről. Amennyiben bizonyos alkalmazások futtatásához (például OpenOffice) feltétlenül szükséges a Java, legalább a böngészőben futó változatot érdemes letiltani, így a fertőzött weboldalak nem tudnak tetszőleges kódot futtatni a számítógépen.
Az Oracle egyelőre nem kommentálta a sebezhetőséget, így a javítás várható kiadási időpontjáról sincs hivatalos információ. A Java következő menetrend szerinti javítása október közepén esedékes, a súlyos hiba javításával remélhetőleg nem vár eddig a cég. Amennyiben kritikus javításra van szükség, számos biztonsági cég adott ki saját patch-et a hibára, amelyet kérdésre meg is küldenek - a nemhivatalos patch kompatibilitására azonban nincs garancia.