Week 2
Java sårbarhedsjægere fra polsk sikkerhedsundersøgelsesfirma Sikkerhedseksperter hævder at have fundet en ny sårbarhed, der påvirker de seneste desktop- og serverversioner af Java Runtime Environment (JRE).
Sårbarheden er placeret i Java's Reflection API-komponent og kan bruges til fuldstændigt at omgå Java Security Sandbox og udføre vilkårlig kode på computere, Adam Gowdiak, CEO for Security Explorations, sagde mandag i en email sendt til mailinglisten Fuld Disclosure. Fejlen påvirker alle versioner af Java 7, herunder Java 7 Update 21, som blev udgivet af Oracle i sidste tirsdag, og den nye Server JRE-pakke blev udgivet samtidig.
Som navnet antyder, er Server JRE en version af Java Runtime Environment designet til Java-server implementeringer. Ifølge Oracle indeholder Server JRE ikke Java-plug-in, et hyppigt mål for webbaserede udnyttelser, den automatiske opdateringskomponent eller installationsprogrammet, der findes i JRE-pakken.
[Yderligere læsning: Hvordan at fjerne malware fra din Windows-pc]Selvom Oracle er klar over, at Java-sårbarheder også kan udnyttes ved serverudbredelser ved at levere ondsindet input til API'er (applikationsprogrammeringsgrænseflader) i sårbare komponenter, har meddelelsen generelt været, at størstedelen af Java sårbarheder har kun indflydelse på plug-in for Java-browseren, eller at exploateringsscenarierne for Java-fejl på servere er usandsynlige, sagde Gowdiak tirsdag via email.
"Vi forsøgte at gøre brugerne opmærksomme på, at Oracle's påstande var ukorrekte i forhold til virkningen af Java SE sårbarheder, "sagde Gowdiak. "Vi har bevist, at de fejl, som evalueres af Oracle som kun påvirker Java-plug-in'en, kan påvirke servere også."
I februar offentliggjorde Security Explorations et proof of concept-udnyttelse til Java-sårbarhed klassificeret som plugin- baseret som kunne have været brugt til at angribe Java på servere ved hjælp af RMI (remote method invocation) protokollen, sagde Gowdiak. Oracle adresserede RMI-angrebsvektoren i Java-opdateringen i sidste uge, men andre metoder til at angribe Java-implementeringer på servere eksisterer, sagde han.
Sikkerhedsforskere har forskere ikke bekræftet den vellykkede udnyttelse af den nye sårbarhed, de fandt mod Server JRE, men de opregnede kendte Java-API'er og komponenter, der kunne bruges til at indlæse eller udføre usikker Java-kode på servere.
Hvis der findes en angrepsvektor i en af de komponenter, der er nævnt i retningslinje 3-8 i Oracle's "Secure Coding Guidelines for a Java Programmeringssprog, "Java server-implementeringer kan angribes gennem en sårbarhed, som den rapporterede mandag til Oracle, sagde Gowdiak.
Forskeren tog spørgsmålstegn ved, hvordan Reflection API blev implementeret og revideret for sikkerhedsproblemer i Java 7, fordi komponenten har hidtil været kilden til flere sårbarheder. "Refleksions-API'en passer ikke rigtig godt til Java-sikkerhedsmodellen, og hvis den bruges ukorrekt, kan det let føre til sikkerhedsproblemer," sagde han.
Denne nye fejl er et typisk eksempel på en svaghed i Reflection API, sagde Gowdiak. Denne sårbarhed bør ikke være til stede i Java 7-kode et år efter, at et generisk sikkerhedsproblem relateret til Reflection API blev rapporteret til Oracle af Security Explorations, sagde han.
Apple har udgivet en opdatering til iPhone's OS, der har til formål at rette fejl og forhindre dem, der har hacket (eller jailbroken) deres iPhones til at køre uanvendt Apple-software. Men hvis du håbede på Apple fikseret alle de fejl, der har genereret mange greb (som kort batterilevetid), fortsætter med at drømme.
Nogle af ændringerne / rettelserne 2,0 bringer:
Fejl og fejl: Sikkerhedsfejl i fildeling Hits Vista
Plus: Hent plaster til ActiveX-kontroller, Firefox, Chrome og Safari, samt sikkerhedsopdateringer til Mac OS X 10.5.8.
For nylig patched Java-fejl er allerede målrettet mod massakampe, siger forskere
En sårbar Java-fjernbetjenings kodeks udnyttes allerede af cyberkriminelle i masseangreb til at inficere computere med scareware, advarer sikkerhedsforskere.