Hlavní navigace

Kritická chyba v Javě dobře slouží útočníkům, Oracle ji už 4 měsíce ignoruje

Daniel Dočekal 30. 8. 2012

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Čtyři měsíce stará bezpečnostní chyba je dnes součástí populární pomůcky Blackhole exploit kit a její využití je tak snadné jako nikdy předtím. Odpovídá tomu i fakt, že se útočný kód nachází na desítkách webů. Update Javy přitom Oracle plánuje až  v polovině října, náprava je tak hodně daleko. Pokud chcete vlastní počítač před tímto druhem útoku ochránit, jediné aktuální řešení je odstranění Javy, nebo návrat k předchozí verzi (verze 1.6 by neměla být zranitelná, 1.7 spolehlivě ano). Na klasická antivirová řešení se spolehnout nemůžete, tento druh útoku nedokáží odchytit. Podstatný není ani prohlížeč, k útoku lze využít prakticky libovolný.

Analýza zranitelnosti Javy upozorňuje, že bezpečnostní chyba nabízí 100% úspěšnost, stejně tak jako multiplatformní využití. Errata Security v New Java 0day upozorňuje, že zranitelnost skutečně perfektně funguje jak na Windows 7, tak například na Ubuntu 12.04 s Oracle Javou či OS X.   Pokud vás zajímá praktický příklad, zkuste například článek New Java 0day exploited in the wild. Pokud používáte Metasploit, zde můžete získat potřebné.

Našli jste v článku chybu?

31. 8. 2012 8:40

To v Mozille není podpora pro šifrování a elektronický podpis, ale pouze pro žádost o certifikát (plus generování párů klíčů). Certifikační autority mají silnou motivaci to do prohlížeče protlačit, ale když už někdo jejich certifikát má, je jim asi celkem jedno, že s ním nic nepodepíše.

31. 8. 2012 0:17

CCblue (neregistrovaný)

Jo, právě se mi objevila.

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy