Hlavní navigace

Kritická chyba v Javě dobře slouží útočníkům, Oracle ji už 4 měsíce ignoruje

Daniel Dočekal 30. 8. 2012

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

CIF16

Čtyři měsíce stará bezpečnostní chyba je dnes součástí populární pomůcky Blackhole exploit kit a její využití je tak snadné jako nikdy předtím. Odpovídá tomu i fakt, že se útočný kód nachází na desítkách webů. Update Javy přitom Oracle plánuje až  v polovině října, náprava je tak hodně daleko. Pokud chcete vlastní počítač před tímto druhem útoku ochránit, jediné aktuální řešení je odstranění Javy, nebo návrat k předchozí verzi (verze 1.6 by neměla být zranitelná, 1.7 spolehlivě ano). Na klasická antivirová řešení se spolehnout nemůžete, tento druh útoku nedokáží odchytit. Podstatný není ani prohlížeč, k útoku lze využít prakticky libovolný.

Analýza zranitelnosti Javy upozorňuje, že bezpečnostní chyba nabízí 100% úspěšnost, stejně tak jako multiplatformní využití. Errata Security v New Java 0day upozorňuje, že zranitelnost skutečně perfektně funguje jak na Windows 7, tak například na Ubuntu 12.04 s Oracle Javou či OS X.   Pokud vás zajímá praktický příklad, zkuste například článek New Java 0day exploited in the wild. Pokud používáte Metasploit, zde můžete získat potřebné.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte