Czy załatałeś już groźne luki w Javie? Oracle udostępniła przedterminowe aktualizacje

30-08-2012, 23:07
Aktualizacja: 31-08-2012, 23:36

Atakowi może ulec nawet miliard internautów - podaje Niebezpiecznik. Co istotne, tym razem problem dotyczy nie tylko użytkowników Windowsa, ale również Linuksa i Mac OS. Nieważne też, z jakiej korzystają przeglądarki - wystarczy, że mają w systemie zainstalowaną Javę. Aktualizacja: okazało się, że wydana wczoraj poprawka nie likwiduje wszystkich możliwości ataku.

Pierwsze doniesienia o atakach poprzez niezałataną lukę w Javie pojawiły się w niedzielę wieczorem (zob. wpis na blogu FireEye - Zero-Day Season is Not Over Yet). Z opublikowanej dwa dni później bardziej kompleksowej analizy wynika, że grasujący w sieci exploit wykorzystuje nie jedną, ale dwie dziury typu zero-day (zob. Immunity Products - Java 0day analysis (CVE-2012-4681)). Mało tego, firma Oracle, która jest producentem Javy, dowiedziała się o ich istnieniu na początku... kwietnia. Luki - nie tylko zresztą te - odkrył i zgłosił Adam Gowdiak, właściciel Security Explorations, o czym szerzej pisze serwis Zaufana Trzecia Strona.

Oracle, która uparcie trzyma się stałego harmonogramu czterech aktualizacji rocznie, w czerwcu nie załatała podatności. Kolejnych łatek należało spodziewać się dopiero w październiku. Nieoczekiwanie jednak firma wydała przedterminowe poprawki (link do nich znajduje się na końcu artykułu). Gowdiak zauważa, że wzajemne powiązanie obu luk w exploicie nie odwzorowuje jego metody ich wykorzystania. Stąd wniosek, że błędy te mogły zostać odkryte niezależnie od zgłoszenia Polaka. Nic zresztą dziwnego, skoro Oracle nie pospieszyło się z ich załataniem.

Niebezpiecznik wspomina o prawdopodobnych chińskich korzeniach exploita, który został już zresztą dodany do popularnych exploit-packów, takich jak BlackHole. Co to oznacza? Exploit-packi są zbiorami skryptów pozwalających automatycznie i masowo generować strony internetowe, których jedynym zadaniem jest zainfekowanie jak największej liczby komputerów. Jeśli odwiedzisz taką stronę, używając nieaktualnej przeglądarki, istnieje duże prawdopodobieństwo, że dołączysz do botnetu (sieci komputerów-zombie gotowych na rozkazy właściciela, który będzie mógł z ich pomocą np. dokonywać ataków DDoS lub rozsyłać spam). W tym przypadku wystarczy, że będziesz miał włączony plugin Javy.

Kto jest podatny na atak?

Luki występują w środowisku Java Runtime Environment (JRE) 1.7 Update od 0 do 6. Nie jest od nich wolny także Java Development Kit (JDK). Uwaga! Odradzamy instalację starszych wersji tego oprogramowania - w taki sposób unikniesz, co prawda, tego konkretnego exploita, ale możesz „złapać” wiele innych. Co ważne, na atak podatni są użytkownicy różnych systemów operacyjnych - nie tylko Windowsa, ale też Linuksa i Mac OS. Nie ma też znaczenia, z jakiej korzystają przeglądarki.

Jak podaje Niebezpiecznik: Z najnowszych szacunków, opartych o dane Secunii, wynika, że 34% wśród badanych 10 tysięcy komputerów posiada Javę 7 (56% ciągle korzysta z wersji 6). Jeśli wierzyć Oracle, która chwali się, że Java zainstalowana jest na 3 miliardach komputerów, i założyć, że 10-tysięczna próbka Secunii jest reprezentatywna, to na grasujące w tej chwili exploity podatnych jest około miliard internautów!

Chcesz wiedzieć, czy Ty również? Firma Rapid7, która specjalizuje się w rozwiązaniach do zarządzania podatnościami systemów (takich jak Metasploit), przygotowała specjalną stronę umożliwiającą sprawdzenie, czy jest się podatnym na atak. Znajdziesz ją pod adresem: www.isjavaexploitable.com

Aktualizacje do pobrania, czyli z deszczu pod rynnę

Poprawki wydane dla JRE i JDK można pobrać ze strony Oracle - dotyczą one zarówno wersji 1.7, jak i wcześniejszej 1.6. Lepszym wyjściem zdaje się być jednak całkowite odinstalowanie Javy. Kilka godzin po opublikowaniu aktualizacji pojawiły się bowiem doniesienia, że usuwają one wyłącznie wektor ataku, a nie samą podatność - pisze o tym m.in. Niebezpiecznik w artykule pt. Porażka Oracle: wczorajszy patch załatał starą dziurę ale otworzył nową... Adam Gowdiak, który odkrył omawianą lukę, zbadał już nowe możliwości ataku i poinformował o nich Oracle. Kiedy można spodziewać się ostatecznej likwidacji problemu - nie wiadomo.


Źródło: Niebezpiecznik.pl, Zaufana Trzecia Strona
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031