Mga Manunulat Makahanap ng Kritikal na Pagkakamali sa Java 7 Mga Oras ng Pagkakulong Pagkatapos ng Paglabas

Mga mananaliksik ng seguridad mula sa Poland na nakabatay sa seguridad na kompanya Ang Security Explorations ay nag-claim na natuklasan ang isang kahinaan sa pag-update ng seguridad ng Java 7 na inilabas noong Huwebes na maaaring pinagsamantalahan upang makatakas sa Java sandbox at magsagawa ng arbitrary code sa pinagbabatayan system.

Security Explorations nagpadala ng isang ulat tungkol sa kahinaan sa Oracle sa Biyernes kasama ang isang patunay-ng-konsepto pagsasamantala, Adam Gowdiak, tagapagtatag ng kumpanya at CEO sinabi Biyernes sa pamamagitan ng email

Ang kumpanya ay hindi Hindi plano na palabasin ang anumang mga teknikal na detalye tungkol sa kahinaan sa publiko hanggang sa matugunan ito ng Oracle, sinabi ni Gowdiak.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa ang iyong Windows PC.

Sinimulan ng Oracle ang regular na apat-na-buwan na patching cycle sa Huwebes upang palabasin ang Java 7 Update 7, isang emergency update sa seguridad na nakatalaga sa tatlong mga kahinaan, kabilang ang dalawang na pinagsamantalahan ng mga attackers upang makahawa sa mga computer na may malware dahil noong nakaraang linggo, ang

Java 7 Update 7 ay nagtatakda din ng isang "seguridad-malalim na isyu" na, ayon sa Oracle, ay hindi direktang exploable, ngunit maaaring ginamit upang aggravate ang epekto ng iba pang mga kahinaan. ng "seguridad-malalim na isyu," na tinatawag ng Gowdiak na isang "vector na pagsasamantala," na naglabas ng lahat ng security-of-concept (PoC) na Java Virtual Machine (JVM) na seguridad sa pamamagitan ng mga pagsasamantala na dati na isinumite ng Polish security firm sa Oracle , walang saysay.

Ayon sa Gowdiak, ang Private Explorations ay pribado na nag-ulat ng 29 mga kahinaan sa Java 7 sa Oracle noong Abril, kabilang ang dalawa na aktibong pinagsamantalahan ng mga attacker.

Ang mga ulat ay sinamahan ng kabuuang 16 proof- ng-conce pt exploits na pinagsama ang mga kahinaan upang ganap na bypass ang Java sandbox at execute arbitrary code sa pinagbabatayan system.

Ang pagtanggal ng getField at getMethod pamamaraan mula sa pagpapatupad ng sun.awt.SunToolkit klase sa Java 7 Update 7 hindi pinagana ang lahat ng mga pag-uumpisa ng Security Exploration na PoC, sinabi ni Gowdiak.

Gayunpaman, naganap lamang ito dahil ang "vector na pagsasamantala" ay inalis, hindi dahil ang lahat ng mga kahinaan na na-target ng mga pagsasamantala ay pinatugma, sinabi ni Gowdiak. Ang mga explorations sa Java 7 Update ay maaaring isama sa ilan sa mga kahinaan na naiwan sa pamamagitan ng Oracle upang makamit ang isang buong JVM sandbox bypass muli.

"Kapag nalaman namin na ang aming kumpletong Java sandbox bypass code tumigil sa trabaho pagkatapos ng pag-update ay inilapat, kami tumingin muli sa mga POC code at nagsimulang mag-isip tungkol sa mga posibleng paraan kung paano ganap na masira ang pinakabagong pag-update ng Java muli, "sabi ni Gowdiak. "Ang isang bagong ideya ay dumating, ito ay napatunayan na at ito ay naka-out na ito ay ito."

Hindi alam Gowdiak kapag ang Oracle plano upang matugunan ang mga natitirang mga kahinaan na iniulat ng Security Explorations sa Abril o ang bagong isa na isinumite ng kumpanya ng seguridad sa Biyernes.

Ito ay hindi malinaw kung ang Oracle ay maglalabas ng isang bagong pag-update ng seguridad ng Java noong Oktubre habang ito ay binalak. Ang kumpanya ay hindi agad nagbabalik ng isang kahilingan para sa komento.

Mga mananaliksik ng seguridad ay palaging nagbabala na kung ang mga vendor ay kumuha ng masyadong maraming oras upang tugunan ang isang iniulat na kahinaan na maaaring natuklasan ng mga masamang tao sa pansamantala, kung hindi nila alam tungkol sa mga ito.

Ito ay nangyari sa maraming pagkakataon para sa iba't ibang mga bug hunters upang matuklasan ang parehong kahinaan sa parehong produkto nang nakapag-iisa at ito ay kung ano ang maaaring mangyari din sa kaso ng dalawang aktibong pinagsamantalahan Java kahinaan na hinarap sa pamamagitan ng Java 7 Update 7.

"Ang mga independyenteng pagtuklas ay hindi maaaring maibukod," sabi ni Gowdiak. "Ang tukoy na isyu na ito [ang bagong kahinaan] ay maaaring maging mas kaunting mas mahirap hanapin."

Batay sa karanasan ng mga mananaliksik sa Security Explorations na may pangangaso para sa mga kahinaan ng Java sa ngayon, ang Java 6 ay may mas mahusay na seguridad kaysa sa Java 7. "Ang Java 7 ay nakakagulat na mas madali para sa atin na masira," sabi ni Gowdiak. "Para sa Java 6, hindi namin pinamamahalaang makamit ang isang kompromiso ng buong sandbox, maliban sa isyu na natuklasan sa Apple Quicktime para sa Java software."

Sinabi ni Gowdiak kung ano ang sinabi ng maraming mananaliksik sa seguridad bago: Kung hindi mo kailangan Java, i-uninstall ito mula sa iyong system.