Hlavní navigace

Kritická chyba v Javě dobře slouží útočníkům, Oracle ji už 4 měsíce ignoruje

Daniel Dočekal

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Čtyři měsíce stará bezpečnostní chyba je dnes součástí populární pomůcky Blackhole exploit kit a její využití je tak snadné jako nikdy předtím. Odpovídá tomu i fakt, že se útočný kód nachází na desítkách webů. Update Javy přitom Oracle plánuje až  v polovině října, náprava je tak hodně daleko. Pokud chcete vlastní počítač před tímto druhem útoku ochránit, jediné aktuální řešení je odstranění Javy, nebo návrat k předchozí verzi (verze 1.6 by neměla být zranitelná, 1.7 spolehlivě ano). Na klasická antivirová řešení se spolehnout nemůžete, tento druh útoku nedokáží odchytit. Podstatný není ani prohlížeč, k útoku lze využít prakticky libovolný.

Analýza zranitelnosti Javy upozorňuje, že bezpečnostní chyba nabízí 100% úspěšnost, stejně tak jako multiplatformní využití. Errata Security v New Java 0day upozorňuje, že zranitelnost skutečně perfektně funguje jak na Windows 7, tak například na Ubuntu 12.04 s Oracle Javou či OS X.   Pokud vás zajímá praktický příklad, zkuste například článek New Java 0day exploited in the wild. Pokud používáte Metasploit, zde můžete získat potřebné.

Našli jste v článku chybu?