Hlavní navigace

Kritická chyba v Javě dobře slouží útočníkům, Oracle ji už 4 měsíce ignoruje

30. 8. 2012
Doba čtení: 1 minuta

Sdílet

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

wt100 2024 EARLY

Čtyři měsíce stará bezpečnostní chyba je dnes součástí populární pomůcky Blackhole exploit kit a její využití je tak snadné jako nikdy předtím. Odpovídá tomu i fakt, že se útočný kód nachází na desítkách webů. Update Javy přitom Oracle plánuje až  v polovině října, náprava je tak hodně daleko. Pokud chcete vlastní počítač před tímto druhem útoku ochránit, jediné aktuální řešení je odstranění Javy, nebo návrat k předchozí verzi (verze 1.6 by neměla být zranitelná, 1.7 spolehlivě ano). Na klasická antivirová řešení se spolehnout nemůžete, tento druh útoku nedokáží odchytit. Podstatný není ani prohlížeč, k útoku lze využít prakticky libovolný.

Analýza zranitelnosti Javy upozorňuje, že bezpečnostní chyba nabízí 100% úspěšnost, stejně tak jako multiplatformní využití. Errata Security v New Java 0day upozorňuje, že zranitelnost skutečně perfektně funguje jak na Windows 7, tak například na Ubuntu 12.04 s Oracle Javou či OS X.   Pokud vás zajímá praktický příklad, zkuste například článek New Java 0day exploited in the wild. Pokud používáte Metasploit, zde můžete získat potřebné.

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).