Systémy podnikové ochrany mají problémy s kódem v Javě

3. 11. 2010

Sdílet

Microsoft uvádí, že v posledních měsících zaznamenal obrovský nárůst útoků proti chybám v implementaci Javy. Tvrzení je samozřejmě trochu „slovem do pranice“, protože po koupi Sunu spadá Java pod Oracle, který je dnes asi největším konkurentem Microsoftu.

Microsoft uvádí, že v posledních měsících zaznamenal obrovský nárůst útoků proti chybám v implementaci Javy.

Holly Stewart, manažer Microsoft Malware Protection Center, tvrdí, že počet útoků zachycených za čtvrtletí vzrostl od počátku tohoto roku z půl milionu na 6 milionů.

Tvrzení je samozřejmě trochu „slovem do pranice“, protože po koupi Sunu spadá Java pod Oracle, který je dnes asi největším konkurentem Microsoftu. Stewart neříká, že by v Javě ale byly nějaké chyby zero day. Většina útoků podle něj zneužívá jen tři zranitelnosti, které byly opraveny již před měsíci nebo dokonce roky. Největší počet exploitů směřuje proti chybě v běhovém prostředí JRE (Java Runtime Environment), opravené už v prosinci 2008. Na druhém a třetím místě v četnosti napadení jsou zneužití možnost buffer oveflow v haldě a další chyba v JRE (obě zalátány v prosinci 2009).

Na útocích proti dávno opraveným zranitelnostem není nic tak překvapivého. Jak to ale, že si jich zatím nikdo moc nevšiml? Podle Stewarta za to mohou současné systémy IDS a IPS. Mnohdy mají problémy analyzovat kód v Javě, protože implementovat intepretery Javy do těchto systémů by mělo negativní dopad na výkon sledované sítě. Pro útočníky je zneužívání Javy lákavé i v tom, že exploity (nebo alespoň některé exploity) mohou zasáhnout uživatele bez ohledu na používané prohlížeče a operační systémy. Faktem je, že chyby v Javě se staly součástí kitů, které se používají pro automatizaci útoků – i to mohlo způsobit nárůst jejich četnosti.

Brian Krebs například uvádí, že 67 % úspěšných útoků provedených v poslední době pomocí sady CrimePack zneužívalo právě nějakou chybu v Javě. Krebs dokonce jako jedno z řešení doporučuje Javu prostě odinstalovat, nebo používat nástroje jako PSI (personal software inspector) od firmy Secunia, který upozorňuje na chyby a zjednodušuje také nasazení záplat.

Zatím poslední balíček oprav pro Javu vydal Oracle v dubnu krátce poté, co na zranitelnosti upozornil výzkumník Googlu Tavis Ormandy.

bitcoin školení listopad 24

Viz také: Oracle opravil kritickou chybu v Javě