Shtrikaona koda - Žene u IT industriji
Java lovci ranjivosti iz tvrtke za istraživanje sigurnosti u Poljskoj tvrde da su otkrili novu ranjivost koja utječe na najnovije inačice radne površine i poslužitelja Java Runtime Environment (JRE).
Ova ranjivost nalazi se u Java komponenti Reflection API i može se upotrijebiti za potpuno zaobilaženje sigurnosnog sandboxa Java i izvršavanje proizvoljnog koda na računalima, priopćio je Adam Gowdiak, izvršni direktor sigurnosnih istraživanja. e-mail poslan na mailing listu Full Disclosure. Ovaj nedostatak utječe na sve verzije Java 7, uključujući Java 7 Update 21, koje je objavio Oracle prošlog utorka i istodobno objavljen novi paket poslužitelja JRE.
Kao što ime sugerira, poslužitelj JRE je verzija od Java Runtime Environment dizajniran za implementaciju Java poslužitelja. Prema Oracleu, poslužitelj JRE ne sadrži plug-in Java preglednika, čest cilj za web-bazirane eksploatacije, komponentu za automatsko ažuriranje ili instalater koji se nalazi u običnom JRE paketu.
[Daljnje čitanje: Kako da biste uklonili zlonamjerni softver s računala sa sustavom Windows]Iako je Oracle svjestan da se Java ranjivosti mogu iskoristiti i na implementacijama poslužitelja davanjem zlonamjernih podataka API-jima (sučelja programskih aplikacija) u ranjivim komponentama, njegova je poruka uglavnom bila da većina Java ranjivosti samo utječu na plug-in Java preglednika ili da su scenariji iskorištavanja Java nedostataka na poslužiteljima nevjerodostojan, Gowdiak je izjavio putem e-pošte u utorak.
"Pokušali smo upoznati korisnike s Oracleovim tvrdnjama da su netočni u odnosu na utjecaj Java SE ranjivosti ", rekao je Gowdiak. "Pokazali smo da bugovi koje je Oracle ocjenjivao kao da utječu samo na Java plug-in mogu utjecati i na poslužitelje."
U veljači, Security Explorations objavio je dokaz o konceptu eksploatacije za Java ranjivost klasificiranu kao plug-in- based koji bi mogao biti korišten za napad Java na poslužiteljima pomoću protokolom RMI (remote metode invocation), rekao je Gowdiak. Oracle je prošli tjedan obratio RMI vektoru napada u Java ažuriranju, ali postoje druge metode napada napada Java na poslužiteljima.
Istraživači sigurnosnih istraživanja nisu potvrdili uspješno iskorištavanje nove ranjivosti koju su našli na poslužitelju JRE, ali su naveli poznate Java API-je i komponente koje se mogu koristiti za učitavanje ili izvršavanje nepouzdanog Java koda na poslužiteljima.
Ako postoji vektor napada u jednoj od komponenti spomenutih u Smjernicama 3-8 Oracleove "Smjernice za kodiranje Java Programski jezik ", implementacije Java poslužitelja mogu biti napadnute kroz ranjivost poput one koja je u ponedjeljak izvijestila Oracle, rekao je Gowdiak.
Istraživač je preispitivao način na koji je implementiran Reflection API i revidiran za sigurnosna pitanja u Java 7 jer komponenta do sada je izvor mnogobrojnih ranjivosti. "Reflection API ne odgovara Java sigurnosnom modelu vrlo dobro, a ako se koristi nepropisno može lako dovesti do sigurnosnih problema", rekao je.
Ovaj novi nedostatak je tipičan primjer slabosti Reflection API, rekao je Gowdiak. Ova ranjivost ne bi trebala biti prisutna u Java 7 kodu godinu dana nakon što je sigurnosnim istraživanjima Oracleu prijavio generički sigurnosni problem koji se odnosi na Reflection API.
Početkom ponedjeljka korisnicima programa Internet Explorer koji će preuzeti Java Runtime Environment ponudit će MSN Toolbar.
Ljudi koji preuzmu Sunov Java Runtime Environment bit će ponuđeni i MSN alatnoj traci, kao i preko Microsoftove distribucije posla koji je pogodio Sun, tvrtke će objaviti ponedjeljak.
Rackable stavlja stolna računala u low-cost poslužitelje
Rackable Systems koristi stolna računala komponente za novu, jeftinu arhitekturu poslužitelja nazvanu MicroSlice
Nedavno popravio Java nedostatak već ciljani u masovnim napadima, istraživači kažu
Nedavno zakrpa Java Java Code Execution vulnerability je već iskoristiti cybercriminals u masovnim napadima kako bi zarazili računala s scareware, upozoravaju sigurnosni istraživači.