Pierwsze doniesienia o atakach poprzez niezałataną lukę w Javie pojawiły się w niedzielę wieczorem (zob. wpis na blogu FireEye - Zero-Day Season is Not Over Yet). Z opublikowanej dwa dni później bardziej kompleksowej analizy wynika, że grasujący w sieci exploit wykorzystuje nie jedną, ale dwie dziury typu zero-day (zob. Immunity Products - Java 0day analysis (CVE-2012-4681)). Mało tego, firma Oracle, która jest producentem Javy, dowiedziała się o ich istnieniu na początku... kwietnia. Luki - nie tylko zresztą te - odkrył i zgłosił Adam Gowdiak, właściciel Security Explorations, o czym szerzej pisze serwis Zaufana Trzecia Strona.

Oracle, która uparcie trzyma się stałego harmonogramu czterech aktualizacji rocznie, w czerwcu nie załatała podatności. Kolejnych łatek należało spodziewać się dopiero w październiku. Nieoczekiwanie jednak firma wydała przedterminowe poprawki (link do nich znajduje się na końcu artykułu). Gowdiak zauważa, że wzajemne powiązanie obu luk w exploicie nie odwzorowuje jego metody ich wykorzystania. Stąd wniosek, że błędy te mogły zostać odkryte niezależnie od zgłoszenia Polaka. Nic zresztą dziwnego, skoro Oracle nie pospieszyło się z ich załataniem.

Niebezpiecznik wspomina o prawdopodobnych chińskich korzeniach exploita, który został już zresztą dodany do popularnych exploit-packów, takich jak BlackHole. Co to oznacza? Exploit-packi są zbiorami skryptów pozwalających automatycznie i masowo generować strony internetowe, których jedynym zadaniem jest zainfekowanie jak największej liczby komputerów. Jeśli odwiedzisz taką stronę, używając nieaktualnej przeglądarki, istnieje duże prawdopodobieństwo, że dołączysz do botnetu (sieci komputerów-zombie gotowych na rozkazy właściciela, który będzie mógł z ich pomocą np. dokonywać ataków DDoS lub rozsyłać spam). W tym przypadku wystarczy, że będziesz miał włączony plugin Javy.

Kto jest podatny na atak?

Luki występują w środowisku Java Runtime Environment (JRE) 1.7 Update od 0 do 6. Nie jest od nich wolny także Java Development Kit (JDK). Uwaga! Odradzamy instalację starszych wersji tego oprogramowania - w taki sposób unikniesz, co prawda, tego konkretnego exploita, ale możesz „złapać” wiele innych. Co ważne, na atak podatni są użytkownicy różnych systemów operacyjnych - nie tylko Windowsa, ale też Linuksa i Mac OS. Nie ma też znaczenia, z jakiej korzystają przeglądarki.

Jak podaje Niebezpiecznik: Z najnowszych szacunków, opartych o dane Secunii, wynika, że 34% wśród badanych 10 tysięcy komputerów posiada Javę 7 (56% ciągle korzysta z wersji 6). Jeśli wierzyć Oracle, która chwali się, że Java zainstalowana jest na 3 miliardach komputerów, i założyć, że 10-tysięczna próbka Secunii jest reprezentatywna, to na grasujące w tej chwili exploity podatnych jest około miliard internautów!

Chcesz wiedzieć, czy Ty również? Firma Rapid7, która specjalizuje się w rozwiązaniach do zarządzania podatnościami systemów (takich jak Metasploit), przygotowała specjalną stronę umożliwiającą sprawdzenie, czy jest się podatnym na atak. Znajdziesz ją pod adresem: www.isjavaexploitable.com

Aktualizacje do pobrania, czyli z deszczu pod rynnę

Poprawki wydane dla JRE i JDK można pobrać ze strony Oracle - dotyczą one zarówno wersji 1.7, jak i wcześniejszej 1.6. Lepszym wyjściem zdaje się być jednak całkowite odinstalowanie Javy. Kilka godzin po opublikowaniu aktualizacji pojawiły się bowiem doniesienia, że usuwają one wyłącznie wektor ataku, a nie samą podatność - pisze o tym m.in. Niebezpiecznik w artykule pt. Porażka Oracle: wczorajszy patch załatał starą dziurę ale otworzył nową... Adam Gowdiak, który odkrył omawianą lukę, zbadał już nowe możliwości ataku i poinformował o nich Oracle. Kiedy można spodziewać się ostatecznej likwidacji problemu - nie wiadomo.