Kutatók: Súlyos hiba a Java Runtime Environment asztali számítógépekhez, szerverekhez

A lengyel biztonsági kutató cég Biztonsági felderítéssel foglalkozó Java sérülékenység vadászai azt állítják, hogy új biztonsági rést találtak, amely a legfrissebb asztali és kiszolgálói verziókat érinti a Java Runtime Environment (JRE).

A biztonsági rés a Java Reflection API komponensében található, és felhasználható a Java biztonsági homokdoboz teljes körű megkerülésére és tetszőleges kód futtatására a számítógépeken, Adam Gowdiak, a Security Explorations vezérigazgatója elmondta hétfőn egy e-mailt küldött a Full Disclosure levelezési listára. A hiba a Java 7 összes változatát érinti, beleértve a Java 7 Update 21-et is, amelyet az Oracle kedden kiadott és az új szerver JRE csomagot egyidejűleg kiadta.

Amint a név is sugallja, a Server JRE egy verzió a Java-futásidejű környezet Java-kiszolgáló telepítéséhez. Az Oracle szerint a Szerver JRE nem tartalmazza a Java böngésző beépülő modult, gyakori cél a web alapú kizsákmányolásokhoz, az automatikus frissítés komponenshez vagy a rendszeres JRE csomagban található telepítőhöz.

[További olvasmány: How a rosszindulatú programok eltávolítása a Windows PC-ről]

Bár az Oracle tudatában van annak, hogy a Java-sebezhetőségeket a kiszolgáló telepítésekor is kihasználhatják, mivel rosszindulatú bemeneteket biztosít az API-k (alkalmazásprogramozási felületek) számára a sérülékeny összetevők számára, általában arról szólt, hogy a Java a sebezhetőségek csak a Java böngésző beépülő modulját érintik, vagy a Java-hibák kihasználási forgatókönyvei a kiszolgálókon valószínűtlenek, Gowdiak kedden e-mailben elmondta.

"Megpróbáltuk a felhasználókat tudatában annak, hogy az Oracle követelései nem megfelelőek a Java hatása tekintetében SE sebezhetőségeket "- mondta Gowdiak. "Bizonyítottuk, hogy az Oracle által csak a Java-plug-inet érintő hibák hatással lehetnek a kiszolgálókra is."

Februárban a Security Explorations közzétett egy koncepcionális kizsákmányolást egy olyan Java-sebezhetőséghez, amely plug-in- amely arra szolgálhatott volna, hogy megtámadja a Java-t az RMI (remote method invocation) protokoll használatával, Gowdiak mondta. Az Oracle a múlt héten a Java-frissítésben foglalkozott az RMI-támadási vektorral, de a szerverekre vonatkozó Java-telepítések támadásának más módszerei léteznek.

A biztonsági felderítő kutatók nem ellenőrizték a JRE szerverrel szemben támasztott új biztonsági rés sikeres kihasználását, de felsorolták azokat az ismert Java API-kat és összetevőket, amelyeket megbízhatatlan Java-kód betöltésére vagy végrehajtására használhatnának a kiszolgálókon.

Ha egy támadóvektor létezik az Oracle "Biztonsági kódolási irányelvei Java A Java-kiszolgáló telepítése támadható egy olyan sebezhetőségen keresztül, mint amilyennel hétfőn jelent meg az Oracle-hez. "

A kutató azzal a kérdéssel vette tudomásul, hogy a Reflection API végrehajtása és ellenőrzése a Java 7 biztonsági kérdéseiben történt, eddig több sérülékenység forrása volt. "A Reflection API nem nagyon illeszkedik a Java biztonsági modellbe, és ha helytelenül használják, akkor könnyen biztonsági problémákhoz vezethet."

Ez az új hiba a Reflection API gyengeségének tipikus példája, mondta Gowdiak. Ez a biztonsági rés nem jelenhet meg a Java 7 kódban egy évvel azt követően, hogy a Reflection API-val kapcsolatos általános biztonsági problémákat jelentették az Oracle által a Security Explorations-nek.