Ormandy na chybu upozornil Oracle již před delší dobou, ale firma nepokládala zranitelnost za tak závažnou, aby kvůli tomu změnila svůj pravidelný čtvrtletní cyklus zveřejňování aktualizací. Ormandy, který s tímto přístupem nesouhlasí, proto podrobnosti o chybě zveřejnil.
Oracle vydal poslední dávku aktualizací Javy před týdnem, další záplaty se tedy objeví až v červenci.
Vlastní problém spočívá v možnosti, jak lze na cílovém počítači spustit neautorizované javové programy. Java Virtual Machine totiž umožňuje instalaci dalších knihoven jazyka Java. Útočník tedy může vytvořit takovou knihovnu, nechat ji prostřednictvím JVM nainstalovat a pak s její pomocí spustit malware. Americký Computerworld v této souvislosti konstatuje, že tato funkce je obsažena přímo v návrhu implementace Javy, takže je zvláštní, že možnost zneužití byla objevena až nyní. Zneužití je přitom velmi snadné, útočník nemusí používat prostředky vedoucí k buffer overflow, a nemusí tedy obcházet ani bezpečnostní technologie v novějších verzích Windows (DEP a ASLR).
Pokusy o zneužití chyb v implementaci Javy ovšem zatím nejsou příliš rozšířené, ačkoliv je JVM/JRE nainstalováno plošně na obrovském množství počítačů.
Ormandy uvádí, že chyba se týká verze Java SE 6 update 10 pro všechny verze Windows, ale může se projevit např. i na Linuxu.
PŘEDPLATNÉ
ČLÁNKY DO MAILU