Java bude až do července díky neopravené chybě přinášet riziko

12. 4. 2010

Sdílet

Výzkumník Googlu publikoval detaily o chybě v aplikaci Java virtual machine, která může vést ke spuštění neautorizovaných programů na počítači.

Tavis Ormandy, pracovník Googlu, zveřejnil informace o chybě na konci minulého týdne, přičemž podle vlastních slov již předtím upozornil tým společnosti Oracle, který má Javu na starost. Podle zástupců Oraclu ovšem chyba údajně není až tak nebezpečná, aby bylo nutné vydávat mimořádnou opravdu mimo tradiční čtvrtletní cyklus, ovšem Ormandy ostře nesouhlasí.

Problém je, že Oracle vydal poslední aktualizaci Javy před týdnem a další je naplánována až na červenec.

Útok může umožnit útočníkovi spouštět programy v Javě na počítači oběti, což je možné díky tomu, že Java virtual machine (JVM) může na žádost vývojáře instalovat alternativní Java knihovny. Útočník může tedy vytvořit škodlivou knihovnu, požádat JVM, aby ji nainstaloval a následně spustit škodlivý program.

Také Marc Maiffret, vedoucí bezpečností architekt ve společnosti FireEye, tvrdí, že Oracle dělá velkou chybu, když nechce tuto zranitelnost okamžitě záplatovat a bude si vědom toho, že uživatelé budou vystaveni riziku až do července.

Paradoxní je, že útok nevyužívá chybu v softwaru, ale de facto regulérní vlastnost Javy, takže je až překvapivé, že na tento problém dosud nikdo nepřišel. Maiffret proto tuto chybu označuje za velmi elegantní.

V každém případě ovšem platí, že útoky prostřednictvím Javy jsou dosud stále velmi raritní, například ve srovnání se zneužíváním zranitelností v aplikacích Adobe. Díky této skutečnosti je Russ Cooper, bezpečnostní analytik ve společnosti Verizon Business, přesvědčený, že až tak velké riziko uživatelům zase nehrozí.