חוקרים מצאו פגיעות קריטית ב- Java 7 שעות לאחר השחרור

חוקרי אבטחה מחברת האבטחה Security Exploration של חברת האבטחה Security Security, שבסיסה בפולין, טענו כי גילו פגיעות בעדכון האבטחה של Java 7 שפורסם ביום חמישי, שניתן לנצל אותו כדי להימלט מארגז ה- Java ולבצע קוד שרירותי על מערכת הבסיס.

Security Explorations שלחו דיווח על הפגיעות לאורקל ביום שישי יחד עם ניצול של הוכחה לקונספט, אדם Gowdiak, מייסד חברת האבטחה ומנכ"ל החברה אמר ביום שישי באמצעות הדוא"ל.

החברה אינה "לא מתכננים לשחרר שום פרטים טכניים על הפגיעות באופן ציבורי עד שאורקל תטפל בה", אמר Gowdiak.

[המשך קריאה: כיצד להסיר תוכנות זדוניות מ- מחשב Windows שלך]

אורקל פרצה ממחזור התיקון הרגיל שלה במשך ארבעה חודשים ביום חמישי כדי לשחרר את Java 7 Update 7, עדכון אבטחה דחוף שעסק בשלוש נקודות תורפה, כולל שתיים שהיו מנוצלות על-ידי התוקפים כדי להדביק מחשבים עם תוכנות זדוניות מאז בשבוע שעבר.

Java 7 Update 7 גם תוקן "נושא אבטחה מעמיק" אשר, על פי אורקל, לא היה מנצל ישירות, אבל יכול היה לשמש כדי להחמיר את ההשפעה של פגיעויות אחרות.

תיקון של אותה "סוגיה ביטחונית מעמיקה", אשר Gowdiak מכנה "וקטור ניצול", העביר את כל המעידות הביצועיות של Java Virtual Machine (JVM) של הוכחה לקונספט (JVM), שהוגשו בעבר על ידי משרד האבטחה הפולני ל- Oracle , לא יעיל.

על פי Gowdiak, Security Explorations דיווחו באופן פרטי על 29 פגיעויות בג'אווה 7 לאורקל באפריל, כולל השניים שניצלו כעת באופן פעיל על ידי התוקפים. [

] הדיווחים לוו בסך הכל 16 הוכחות - of-conce pt מנצל המשלבת פגיעויות אלה באופן מלא לעקוף את ארגז חול Java לבצע קוד שרירותי על המערכת הבסיסית.

הסרת שיטות getField ו getMethod מיישום בכיתה sun.awt.SunToolkit ב Java 7 Update 7 נכה הכל , אמר Gowdiak.

עם זאת, זה קרה רק בגלל "וקטור ניצול" הוסרה, לא בגלל כל הפגיעויות ממוקד על ידי מנצלים תוקנו, אמר Gowdiak.

הפגיעות החדשה שהתגלו על ידי אבטחה ניתן למצוא את החידושים ב- Java 7 Update 7 עם כמה מהפגיעויות שנותרו על-ידי Oracle כדי להשיג שוב עקיפת ארגז חול מלא של JVM.

"ברגע שמצאנו שקוד המעקפים המלא של Java sandbox הפסיק לפעול לאחר החלת העדכון, הסתכל שוב על קודי POC והתחיל לחשוב על הדרכים האפשריות של איך לשבור את העדכון האחרון של ג 'אווה שוב שוב ", אמר Gowdiak. "רעיון חדש הגיע, הוא אומת והתברר שזהו זה".

Gowdiak אינו יודע מתי אורקל מתכננת לטפל בפגיעות הנותרת שדווחו על ידי Security Explorations בחודש אפריל או זו החדשה שהוגשה על ידי חברת האבטחה ביום שישי.

לא ברור אם אורקל תשחרר עדכון אבטחה חדש של Java באוקטובר כפי שתוכנן קודם לכן. החברה לא מיד החזירה בקשה להערה.

חוקרי אבטחה תמיד הזהירו כי אם הספקים לוקחים יותר מדי זמן כדי לטפל פגיעות דיווח זה עלול להתגלות על ידי הרעים בינתיים, אם הם כבר לא יודעים על זה.

זה קרה בהזדמנויות שונות עבור ציידים באג שונים כדי לגלות את אותה פגיעות באותו מוצר באופן עצמאי וזה מה שאולי קרה גם במקרה של שני פגיעות פעיל לנצל Java אשר טופלו על ידי עדכון Java 7 7.

"לעולם אין להוציא מכלל אפשרות תגליות עצמאיות", אמר גוודיאק. "הבעיה הספציפית הזו [הפגיעות החדשה] עשויה להיות קצת יותר קשה למצוא"בהתבסס על הניסיון של חוקרים בחקר אבטחה עם ציד פגיעויות Java עד כה, Java 6 יש אבטחה טובה יותר מאשר ג 'אווה 7. "ג' אווה 7 היה מפתיע הרבה יותר קל לנו לשבור", אמר Gowdiak. "עבור Java 6, לא הצלחנו להשיג פשרה מלאה של ארגז חול, למעט הבעיה שהתגלתה ב- Apple Quicktime עבור תוכנת Java".

Gowdiak חזר על מה שחוקרי אבטחה רבים אמרו בעבר: אם אינך זקוק ג 'אווה, להסיר את זה מהמערכת