Krytyczna luka w Java

[Cragir]

Krytyczna luka w Java

Luka ta pozwala na zdalne wykonanie dowolnego kodu na naszym komputerze. Po wejściu na odpowiednio spreparowaną stronę, za pomocą dowolnej przeglądarki może zostać uruchomiony w naszym systemie złośliwy kod. Na taki atak narażone są wszystkie systemy z rodziny Windows, a także niepotwierdzenie Linuks.

Wykonanie ataku sprowadza się do wejścia na spreparowana stronę, wtedy witryna przekazuje odpowiednie polecenia do komponentów Java. W Windowsie luka obecna jest w kontrolce ActiveX Java Deployment Toolkit (IE), i wtyczce NPAPI (Firefox i inne przeglądarki wykorzystujące tą wtyczkę). Próba skutecznej ochrony przed tym zagrożeniem może okazać się trudna, ponieważ wyłączenie obsługi ActiveX lub wtyczki NPAPI nic w tym przypadku nie da. Mechanizmy takie jak Microsoft DEP (ang. Data Execution Prevention) lub ASLR (ang. Address Space Layout Randomization), również nie zabezpiecza nas przed zagrożeniem. Na chwilę obecną mozna tymczasowych środków ochronnych, dostępnych na TEJ stronie.

Producent został powiadomiony o luce, jednak nie zamierza wypuścić odpowiedniej łatki w trybie przyspieszonym. Wielu ekspertów zaleca całkowite porzucenie Javy.

Źródło: HARD CORE SECURITY LAB i wies.niak

[melon1992]

Niewiarygodne

Nie znam się na tych mechanizmach wszystkich, ale co może mi zaszkodzić (gry on-line, facebook)?

[Sevard]

Te, a gdzie link do wies.niaka?

A co może zagrozić? Wszystko, na dowolnej stronie można umieścić aplet z niebezpiecznym kodem.

[Periados]

A czy słowo "Java" nie powinno się odmieniać przez przypadki? Krytyczna luka w Javie a nie w Java.

Wielu ekspertów zaleca całkowite porzucenie Javy.

No, a tutaj już jest odmienione przez przypadek. To jak to w końcu jest?

Język polski do najłatwiejszych nie należy, a humanista ze mnie żaden [Cragir]

[Cragir]

Te, a gdzie link do wies.niaka?

Robimy reklamę konta ?

A co do tego jak może to zaszkodzić, to tak ja napisał Sevard, a stronach mogą znajdować się aplety do potencjalnie bezpiecznych stron, na których będzie czekać na nas przykra niespodzianka.

[wies.niak]

Dowcip polega na tym, że zwykle wystarczy java w systemie i włączona obsługa javascriptu. Javascript woła kod javy, a przez buga java może wykonywać dowolne operacje na komputerze ofiary - np. pobrać coś (złośliwego) z netu i odpalić.

Sprawdziłem kod przykładowej strony i na laptopie z xp bug zadziałał w IE oraz Fx. Na komputerze z windows 7 nie udało się odpalić szkodliwego kodu.

Generalnie warto chwilowo unikać nieznanych, mogących stanowić zagrożenie stron, które mogą wykorzystywać tę lukę. Pod operą w obu wypadkach problem nie wystąpił.

[Bronek]

Trochę to strasznie brzmi, mam nadzieje, że sobie szybko z tym poradzą.

Na taki atak narażone są wszystkie systemy z rodziny Windows, a także niepotwierdzenie Linuks.

Czyli Linuks jest mniej narażony na atak? Już zaczynam się cieszyć, że korzystam z "drugiej strony mocy". Dzięki Cragir!

[Sevard]

Obecny kod jest napisany dla Windowsa, być może po drobnych modyfikacjach będzie działał równiez pod GNU/Linuksem, ale tu jest mały haczyk. Mianowicie w przypadku GNU/Linuksa inaczej podchodzi się do kwestii użytkowników i uprawnień. Normalny użytkownik nie ma prawa wprowadzać zmian w systemie, a raczej nikt inteligentny nie korzysta z konta roota, gdy to nie jest konieczne. W związku z tym wykonanie złośliwego kodu jest mniej groźne, gdyż system jako taki jest bezpieczny.