Oracle opravil kritickou chybu v Javě

17. 4. 2010

Sdílet

Společnost Oracle uvolnila pravidelný balíček záplat pro svůj software minulé úterý, firma se ale nakonec krátce poté rozhodla k vydání záplaty mimořádné. Opravena tak byla kritická zranitelnost v implementaci Javy.

Viz také:  Výzkumník Googlu objevil závažnou chybu v Javě

Chyba byla pouze v implementaci Javy na Windows, zato ale útočníkům umožňovalo spouštět na počítači neautorizované programy. Přitom vůbec nebylo třeba obcházet bezpečnostní mechanismy novějších verzí Windows ani psát kód zneužívající konkrétní zranitelnost, spouštění neautorizovaných programů umožnil přímo způsob, jak se v rámci JVM (Java Virtual Machine) zacházelo s knihovnami tohoto jazyka. Oracle ze softwaru prostě příslušnou funkci odebral. Z pohledu vývojářů to znamená, že ve svých programech budou muset jinak pracovat se soubory Java Network Launch Protocol (JNLP).

Stávající verze Javy má číslo Java SE 6 Update 20.

Oraclu se podařilo vydat aktualizaci asi jen týden po oznámení chyby, i tento mezičas už ale stačil podvodníkům k tomu, aby se pokusili o zneužití. Společnost AVG například upozornila na to, že útočníkům se podařilo kompromitovat server Songlyrices.com. Jeho návštěvníci pak byli reklamou vloženou pomocí tagu IFrame přesměrováni na web v Rusku, který se (mimo dalších exploitů) pokoušel instalovat právě podvodné javové programy.

Chybu objevil Tavis Ormandy z Googlu. Zajímavé je, že útoky (alespoň tím výše zmíněným) jsou ohroženi uživatelé Internet Exploreru a Firefoxu, prohlížeč Chrome by ale měl být bezpečný. To by znamenalo další důkaz jeho kvalit (viz např. také: Experti chválí sandboxy v Google Chrome).

bitcoin školení listopad 24

JRE/JDK je třeba stáhnout a nainstalovat ručně (zde).