(akt.) Luka w Javie - jak się przed nią zabezpieczyć

19-04-2010, 11:35
Aktualizacja: 20-04-2010, 20:07

Oracle opublikowało pakiet Java 6 Update 20, który ma eliminować niedawno odkrytą lukę pozwalającą na uruchomienie dowolnego programu, jeśli ofiara odwiedzi odpowiednio spreparowaną stronę internetową. Na atak podatne są zarówno systemy z rodziny Windows, jak i Linux. Eksperci wątpią jednak w skuteczność poprawki. AKTUALIZACJA: Mozilla zdecydowała się na blokowanie starszych wersji wtyczki Java Deployment Toolkit (JDT) dla Firefoksa.

Tavis Ormandy, specjalista ds. bezpieczeństwa zatrudniony w Google, półtora tygodnia temu upublicznił informacje na temat usterki występującej we wszystkich wersjach środowiska Java Runtime Environment (JRE), począwszy od 1.6.0_10. Źródłem problemu okazał się komponent Java Deployment Toolkit, który jest instalowany jako wtyczka NPAPI dla Firefoksa oraz kontrolka ActiveX dla Internet Explorera. Wykorzystanie błędu umożliwia wykonanie złośliwego kodu i przejęcie kontroli nad systemem.

Chcesz sprawdzić, czy używana przez Ciebie wersja Javy jest podatna na atak? Możesz to zrobić na stronie producenta. Ormandy udostępnił też przykładowego exploita - kliknięcie w link spowoduje uruchomienie kalkulatora, w podobny sposób można byłoby też uruchomić inne aplikacje. Skorzystali z tego cyberprzestępcy, implementując złośliwy kod na popularnej stronie z tekstami piosenek Songlyrics.com. Pierwsze doniesienia o infekcjach pojawiły się na blogu AVG, szczegółową analizę ataku można natomiast znaleźć na blogu firmy FireEye.

>> Czytaj także: J2ME odchodzi do lamusa

Od razu warto podkreślić, że opublikowana przez Oracle nowa wersja pakietu (1.6.0_20) ma łatać opisaną wyżej lukę i rzeczywiście po jej zainstalowaniu exploit Ormandy'ego przestaje działać. Według serwisu The H Security aktualizacja nie jest jednak skuteczna w każdych warunkach.

Specjaliści zalecają w przypadku Internet Explorera zatrzymanie uruchamiania odpowiedniego formantu ActiveX (identyfikator klasy: CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA, instrukcję można znaleźć w serwisie pomocy technicznej Microsoftu, można też skorzystać z narzędzia AxBan dostępnego na stronie Errata Security).

W przypadku Firefoksa skuteczne może okazać się zablokowanie dostępu do pliku npdeploytk.dll za pomocą Access Control List (ACL). Prostszym rozwiązaniem będzie wyłączenie modułów związanych z komponentem Java Deployment Toolkit (w menu Narzędzia > Dodatki > Wtyczki).

Aktualizacja

W związku z doniesieniami, że zainstalowanie pakietu Java 6 Update 20 nie zawsze w Firefoksie usuwa  podatność na atak, Mozilla zdecydowała się wprowadzić blokowanie starszych wersji plug-inu Java Deployment Toolkit (JDT). Przeglądarka sama znajduje wadliwy komponent i wyświetla komunikat o konieczności jego wyłączenia, zdarza się bowiem, że mimo aktualizacji wtyczki starsza jej wersja pozostaje nietknięta.


Źródło: Oracle, seclists.org, AVG, The H Security
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Styczeń 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031