Kritická chyba v Javě dobře slouží útočníkům, Oracle ji už 4 měsíce ignoruje

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

EBF16

Čtyři měsíce stará bezpečnostní chyba je dnes součástí populární pomůcky Blackhole exploit kit a její využití je tak snadné jako nikdy předtím. Odpovídá tomu i fakt, že se útočný kód nachází na desítkách webů. Update Javy přitom Oracle plánuje až  v polovině října, náprava je tak hodně daleko. Pokud chcete vlastní počítač před tímto druhem útoku ochránit, jediné aktuální řešení je odstranění Javy, nebo návrat k předchozí verzi (verze 1.6 by neměla být zranitelná, 1.7 spolehlivě ano). Na klasická antivirová řešení se spolehnout nemůžete, tento druh útoku nedokáží odchytit. Podstatný není ani prohlížeč, k útoku lze využít prakticky libovolný.

Analýza zranitelnosti Javy upozorňuje, že bezpečnostní chyba nabízí 100% úspěšnost, stejně tak jako multiplatformní využití. Errata Security v New Java 0day upozorňuje, že zranitelnost skutečně perfektně funguje jak na Windows 7, tak například na Ubuntu 12.04 s Oracle Javou či OS X.   Pokud vás zajímá praktický příklad, zkuste například článek New Java 0day exploited in the wild. Pokud používáte Metasploit, zde můžete získat potřebné.

29 názorů Vstoupit do diskuse
poslední názor přidán 31. 8. 2012 8:40

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »