Istraživači otkrili kritičnu ranjivost u Java 7 Patch Hours nakon objavljivanja

Sigurnosni istrage poslali su izvješće o ranjivosti Oracleu u petak, zajedno s dokazanim konceptom iskorištavanja, rekao je Adam Gowdiak, osnivač i izvršni direktor tvrtke za sigurnost, putem e-pošte u petak.

Tvrtka ne Ne planira javno objavljivati ​​tehničke detalje o ranjivosti sve dok se Oracle ne riješi, rekao je Gowdiak.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver iz vaš Windows PC]

Oracle je u četvrtak izašao iz svog redovitog četverodnevnog zakrpačkog ciklusa kako bi objavio Java 7 Update 7, hitno sigurnosno ažuriranje koje se bavilo s tri ranjivosti, uključujući dva koja su napadači iskorištavali od zaraživanja računala od zlonamjernih programa od prošli tjedan.

Java 7 Update 7 također je zakrpao "sigurnosno-dubinsko pitanje" koje, prema riječima Oraclea, nije bilo izravno iskoristivo, već je moglo biti korišteno za pogoršanje utjecaja drugih ranjivosti.

Patching tog "sigurnosnog dubinskog pitanja", kojeg Gowdiak naziva "vektorom eksploatacije", pružio je sve sigurnosne obilaznice sigurnosnog premoštenja Java konvencije (PoC) Java Virtual Machine (JVM) koje je ranije poslala poljska zaštitarska tvrtka u Oracle , tvrdi Gowdiak, sigurnosni istraľivanja privatno su prijavili 29 ranjivosti Java 7 u Oracle u travnju, uključujući i dva koja su aktivni iskoriąteni od strane napadača.

Izvješća su popraćena ukupno 16 dokaza, o-conce pt eksploatacije koje su kombinirale te ranjivosti da potpuno zaobiđu Java sandbox i izvrše proizvoljni kôd na temeljnom sustavu.

Uklanjanje metoda getField i getMethod iz implementacije klase sun.awt.SunToolkit u Java 7 Update 7 onemogućuje sve , rekao je Gowdiak, ali to se dogodilo samo zato što je "vektor eksploatacije" uklonjen, a ne zato što su sve ranjivosti koje su ciljale eksploatiraju bile zakrpe, rekao je Gowdiak.

Nova ranjivost koju je otkrio sigurnost Istraživanja u Java 7 Update 7 mogu se kombinirati s nekim od ranjivosti koje je Oracle ostao bez premca da bi se postigao puni obilaznica JBC-a.

"Jednom kad smo utvrdili da su naši kompletni kodovi za zaobilaženje Java sandboxa prestali raditi nakon primjene ažuriranja ponovno pogledao POC kodove i počeo razmišljati o mogućim načinima otklanjanja najnovijih Java ažuriranja ", rekao je Gowdiak. "Nova ideja je došla, potvrđena je i pokazalo se da je to bilo."

Gowdiak ne zna kada će Oracle planira riješiti preostale ranjivosti koje su izvijestili Sigurnosni istraţivanja u travnju ili novu koju je predala sigurnosna tvrtka u petak.

Nije jasno hoće li Oracle objaviti novo Java sigurnosno ažuriranje u listopadu, kako je prethodno planirano. Tvrtka nije odmah vratila zahtjev za komentar.

Sigurnosni su istraživači uvijek upozoravali da ako dobavljači previše vremena za rješavanje prijavljene ranjivosti, u međuvremenu ih mogu otkriti negativci, ako već ne znaju o tome. [

] Različita lovci bugova više puta su otkrili neovisno istu ranjivost u istom proizvodu, a to bi se moglo dogoditi i kod dvojice aktivno iskorištenih Java ranjivosti koje je obradio Java 7 Update 7.

"Nezavisna otkrića nikada ne mogu biti isključena", rekao je Gowdiak. "Ovo specifično pitanje [nova ranjivost] može ipak biti malo teže pronaći."

Na temelju iskustva istraživača sigurnosnih istraga, istraživači koji su do sada lovili Java ranjivosti, Java 6 ima bolju sigurnost od Java 7. "Java 7 je bio iznenađujuće puno lakši za slom", rekao je Gowdiak. "Za Java 6, nismo uspjeli postići kompletan komplet kompletnog paketa, osim za problem otkriven u softveru Apple Quicktime for Java."

Gowdiak je odjeknuo onome što su mnogi sigurnosni istraživači već rekli: ako vam nije potrebna Java, deinstalirajte je iz vašeg sustava.