Výzkumník Googlu objevil závažnou chybu v Javě

Tavis Ormandy ze společnosti Google objevil chybu v implementaci Javy, která může útočníkům umožnit instalovat do počítačů nechtěné programy.


Ormandy na chybu upozornil Oracle již před delší dobou, ale firma nepokládala zranitelnost za tak závažnou, aby kvůli tomu změnila svůj pravidelný čtvrtletní cyklus zveřejňování aktualizací. Ormandy, který s tímto přístupem nesouhlasí, proto podrobnosti o chybě zveřejnil.

Oracle vydal poslední dávku aktualizací Javy před týdnem, další záplaty se tedy objeví až v červenci.

Vlastní problém spočívá v možnosti, jak lze na cílovém počítači spustit neautorizované javové programy. Java Virtual Machine totiž umožňuje instalaci dalších knihoven jazyka Java. Útočník tedy může vytvořit takovou knihovnu, nechat ji prostřednictvím JVM nainstalovat a pak s její pomocí spustit malware. Americký Computerworld v této souvislosti konstatuje, že tato funkce je obsažena přímo v návrhu implementace Javy, takže je zvláštní, že možnost zneužití byla objevena až nyní. Zneužití je přitom velmi snadné, útočník nemusí používat prostředky vedoucí k buffer overflow, a nemusí tedy obcházet ani bezpečnostní technologie v novějších verzích Windows (DEP a ASLR).

Pokusy o zneužití chyb v implementaci Javy ovšem zatím nejsou příliš rozšířené, ačkoliv je JVM/JRE nainstalováno plošně na obrovském množství počítačů.

Ormandy uvádí, že chyba se týká verze Java SE 6 update 10 pro všechny verze Windows, ale může se projevit např. i na Linuxu.

 Komentáře