Krátce po aktualizaci Javy objevena kritická chyba

Bezpečnostní odborníci z polské společnosti Security Explorations podle svého tvrzení odhalili kritickou chybu v mimořádné bezpečnostní aktualizaci Javy 7, kterou lze zneužít k úniku z bezpečnostního snadboxu, ve kterém jsou aplety Javy spuštěny, a spuštění kódu v operačním systému.

Společnost odeslala zprávu společnosti Oracle včetně opakovatelné demonstrace, jak lze chybu zneužít. Oznámil to Adam Gowdiak, zakladatel a generální ředitel Security Explorations, v e-mailu adresovaného zástupcům tisku. Jeho společnost nehodlá zveřejnit žádné podrobnosti, dokud Oracle chybu neopraví.

Oracle porušil svůj pravidelný čtyřměsíční cyklus aktualizací, když ve čtvrtek vydal 7. aktualizaci verze 7, která opravovala všechny známé chyby včetně dvou nejnovějších, mezi hackery stále populárnějších.

Podle Gowdiaka byly opraveny i další chyby, které objevila a nahlásila jeho společnost v dubnu tohoto roku. Jedna ze slabin se týkala i možnosti průniku ze sandboxu, kterou Oracle údajně opravil. Nyní to ovšem vypadá tak, že oprava se zcela nezdařila. Mezi 29 slabinami byly i dvě zveřejněné tento týden, které nakonec přiměly Oracle vydat mimořádnou aktualizaci.

Podle polských odborníků ovšem Oracle neopravil podstatu chyby, které teoreticky umožní spustit kód mimo sandbox, ale pouze možnost jejího zneužití. „Když jsme zjistili, že naše kódy na průnik ze sandboxu přestaly fungovat, začali jsme zjišťovat, proč k tomu došlo, a jak by to bylo možno obejít,“ napsal Gowdiak ve svém e-mailu. „Přišli jsme s novým nápadem, který nám otevřel cestu ke staré chybě,“ dodal na vysvětlenou.

Mezitím se začaly ozývat hlasy bezpečnostních specialistů z celého světa volající po odstranění paginu Javy z webových prohlížečů. Podle nich není v současnosti Java v takovém stavu, aby na ni mohlo být plné spolehnutí, že neposlouží jako zadní vrátka do operačního systému.

„Myslím, že začíná převládat názor, že je lepší Javu nepoužívat a pokud možno se jí vyhýbat,“ prohlásil například Stephen Cobb, bezpečnostní evangelista společnosti Eset. „Já to doporučuji také a nejsem ani první, ani poslední.“