Krytyczna luka w środowisku wykonawczym Java

Krytyczny błąd obecny w środowisku wykonawczym Sun Java (Java Runtime Environment, JRE) pozwala na zdalne wykonanie dowolnego kodu. Odwiedzenie specjalnie spreparowanej witryny internetowej może spowodować za pośrednictwem praktycznie dowolnej przeglądarki internetowej uruchomienie złośliwego kodu w naszym systemie operacyjnym. Na atak podatne są wszystkie systemy z rodziny Windows. Prawdopodobnie problem ten dotyczy również systemów Linux.

Praktyczne wykonanie ataku jest niezwykle proste. Wystarczy tylko, że specjalnie spreparowana witryna przekaże odpowiednie polecenia do komponentów Java odpowiedzialnych za uruchamianie aplikacji. Atak jest skuteczny za pośrednictwem praktycznie dowolnej przeglądarki internetowej.

Problem polega na tym, że w wyniku braku odpowiedniej kontroli, komponent Java Web Start akceptuje komendy zawarte w adresach URL i następnie przekazuje je do dalszego wykonania. Przed udanym atakiem nie uchronią nas również mechanizmy takie jak Microsoft DEP (ang. Data Execution Prevention) lub ASLR (ang. Address Space Layout Randomization). Luka obecna jest we wszystkich wersjach JRE począwszy od Java 6 update 10. Tavis Ormandy utworzył przykład PoC dowodzący praktycznej możliwości wykonania ataku.

Obrona przed potencjalnym atakiem nie jest w chwili obecnej prosta. Producent (Oracle — po niedawnym przejęciu Sun Microsystems) został już powiadomiony o całej sprawie, nie zamierza jednak opublikować odpowiedniej poprawki w trybie przyspieszonym. Na chwilę obecną możliwe jest więc jedynie zastosowanie tymczasowych środków zaradczych, które niestety są zależne od stosowanej przeglądarki internetowej.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar hiciu
    hiciu

    openjdk jest podatne na atak?

  2. Awatar marcinsud
    marcinsud

    W sumie ciekawe, bo ostatnio jak odpaliłem openoffice to na splashu już było logo oracle, a do javy coś się nie przyznają jeszcze.

    1. Awatar clondike
      clondike

      Ja wiem.. chwilę po przejęciu strony java.sun.com (na przykład z javadocami) miały favikonkę Oracle – czerwony kolor "walił po oczach" bo z matariałów Oracle nie korzystałem zbyt często. Po kilku dniach zmienili ją na filiżankę.

      To chyba kwestia (re)brandowania wszystkiego, co najłatwiej zrobić z nowymi wersjami :). Javadoc do wersji 7 będzie mieć pewnie w stopce "Copyright 2010 Oracle Corporation".

  3. Awatar norbert_ramzes
    norbert_ramzes

    Na chwilę obecną możliwe jest więc jedynie zastosowanie tymczasowych środków zaradczych, które niestety są zależne od stosowanej przeglądarki internetowej

    <blockquoteNa atak podatne są wszystkie systemy z rodziny Windows. Prawdopodobnie problem ten dotyczy również systemów Linux

    Więc prawdopodobnie wystarczy się przesiąść na Linuksa.

    1. Awatar hcsl.pl
      hcsl.pl

      Napisałem prawdopodobnie, ponieważ odkrywcy luki twierdzą, że ten sam typ ataku można wykonać w Linuksach, nie udało im się jednak jeszcze utworzyć PoC. Za pewne, jak to zwykle bywa, skupili się najpierw na Windowsie.

      1. Awatar krzabr
        krzabr

        Czyli na tą chwile trzeba uważać jak cholera z javą .

        Najgorsze jest to że Oracle wcale się z łatą ie śpieszy ….

        1. Awatar mormon
          mormon

          Obawiam się że Oracle będzie niestety bardziej dbał o stare wersje Javy, bo one są mu potrzebne w jego własnych produktach niż o te najnowsze (chyba baza Oracle'a używa jeszcze Javy 1.3). Może dlatego nie poprawiają.

    2. Awatar WebNuLL
      WebNuLL

      Przesiąść się na Linuksa i używać OpenJDK 🙂

  4. Awatar blah
    blah

    Otworzyłem te stronę z PoC i, ku mojemu zaskoczeniu, Chrome poinformował mnie, że nie mam zainstalowanego odpowiedniego pluginu do Javy. Widać od dwóch miesięcy używania tej przeglądarki Java nie była mi do niczego potrzebna – i chyba tak zostanie na pewien czas ;> Chyba, że to właśnie ten atak był? 😛

    1. Awatar launchpad.net/~mgol
      launchpad.net/~mgol

      Mi też to wyświetlił, a mam zarówno plugin, jak i całe JDK. Więc to nie oznacza braku pluginu Javy.

  5. Awatar Przemysław Socha
    Przemysław Socha

    Mi też FF wyświetlił informację, że brakuje mi wtyczki, ale mimo tego pojawił się splash screen Javy i po chwili uruchomił mi się kalkulator (Win7)…
    Po prostu cudownie…

    1. Awatar WebNuLL
      WebNuLL

      A Mi pod Linuksem nie działa, używam Chromium + OpenJDK.

      1. Awatar vries
        vries

        Windowsowy PoC nie działa ci pod linuksem? Niesamowite…

  6. Awatar krzabr
    krzabr

    http://www.taranfx.com/father-of-java-resigns

    Wieść dosłownie z ostatniej chwili , przez ten ruch java na pewno będzie inna , pytanie tylko jaki będzie jego kolejny pracodawca 😉 ?

    1. Awatar jarek
      jarek

      Miejmy nadzieje, ze jego kolejny pracodawca nie zaproponuje
      mu wymyslanie kolejnego jezyka programowania.

      1. Awatar Królik
        Królik

        Miejmy nadzieję, że teraz jak Java jest już (prawie) martwa, cały wysiłek pójdzie w Scalę, która przy dobrym marketingu mogłaby stać się "the next big thing". Albo jeśli nie, to przynajmniej osiągnąć popularność Pythona, Rubyego lub C# (od których jest IMHO znacznie lepsza).

        1. Awatar jarek
          jarek

          Tak przy okazji, wlasnie zastanawiam sie jak zmarnowac
          nadwyzki wolnego czasu, pouczyc sie Scali czy Clojure?

        2. Awatar krzabr
          krzabr

          A jakiego typu programy chcesz pisać ? 🙂

        3. Awatar Mikołaj
          Mikołaj

          @Królik
          Scala i Clojure działa przecież na JVM więc problem dotyczy tych języków tak samo jak samego języka Java. Może należałoby zapomnieć o kompatybilności wstecznej i udoskonalić JVM, pozbyć się nadmiaru klas, ułatwić używanie innych języków, tylko pytanie kto mógłby to zrobić?

        4. Awatar borizm
          borizm

          Scala jak Python/Jython i parę innych, nie musi działać na JVM – ma własny runtime i ale i wersje pod runtime JVM.

        5. Awatar borizm
          borizm

          Scala nie potrzebuje JVM.

        6. Awatar borizm
          borizm

          Przepraszam za dezinformację: obecnie Scala chodzi głównie i prawie jedynie na JVM.

        7. Awatar Budyń
          Budyń

          @Królik

          Java nie będzie martwa, tak długo jak będzie w użyciu kod w niej napisany – czyli można zalożyć, że przez najbliższych kilkadziesiąt lat.

        8. Awatar Królik
          Królik

          Tak, ale zastosowałem inną definicję "martwości" 😉
          Na tej zasadzie to i COBOL nie jest martwy.
          Martwy jest język, który się przestaje rozwijać, i w którym nie ma sensu tworzyć nowych projektów. Oczywiście starych projektów nikt nie będzie przepisywał.

          @Mikołaj:

          Może należałoby zapomnieć o kompatybilności wstecznej i udoskonalić JVM, pozbyć się nadmiaru klas, ułatwić używanie innych języków, tylko pytanie kto mógłby to zrobić?

          Zdecydowanie tak. Tylko właśnie – kto to ma zrobić? 😉
          Jest potrzebna jedna jakaś centralna jednostka, która pokieruje rozwojem. Inaczej będziemy mieć tyle niekompatybilnych JVMów ile dystrybucji Linuksa. 😉

        9. Awatar jedi1
          jedi1

          Martwy jest język, który się przestaje rozwijać, i w którym nie ma sensu tworzyć nowych projektów

          Skąd taki wniosek?

        10. Awatar Królik
          Królik

          To nie był wniosek, tylko definicja. Każdy język wcześniej czy później osiąga taki punkt, może nie w pełnej rozciągłości swoich zastosowań, ale zostaje zepchnięty do niszy.

          Java jeszcze nie osiągnęła tego punktu. Wszystko jednak powoli zmierza do tego, że tak się stanie. Ludzie, którzy wcześniej ją promowali, znaleźli sobie nowe zabawki (np. Bruce Eckel). James Gosling odszedł z Sun/Oracle. Wcześniej na jednej z konferencji zapytany, jakiego języka używałby po Javie, bez namysłu odparł: "Scali". Sprawa dodania/niedodania closures pokazuje, że ani społeczność ani "kierownictwo" nie ma jednolitej wizji rozwoju.

          Jest lekki kryzys i wszystko zależy od Oracle, jak to dalej się potoczy.

        11. Awatar Mikołaj
          Mikołaj

          Scala nie jest rozwiązaniem problemów z przestarzałością Javy jako języka. Ten język jest za trudny aby stał się powszechnie używany (choć można pisać tak biblioteki, aby znający język tylko pobieżnie pisał szybko i wygodnie korzystając z tych bibliotek.
          JVM będzie się rozwijać gdy pojawią się proste języki dynamiczne (choć w zasadzie są, choć dość powolne), wspomagane bezpośrednio przez maszynę virtualną (Sun miał taki projekt nazywał się da Vinci)

        12. Awatar Królik
          Królik

          Ten język jest za trudny aby stał się powszechnie używany

          Que? Pisałeś coś w Scali? Ten język jest prostszy w codziennym programowaniu niż Java, ma prostszą składnię i zastawia o wiele mniej pułapek. I pisze się znacznie szybciej.

          A języki dynamiczne nie nadają się do dużych projektów tak jak języki ze statycznym systemem typów.

        13. Awatar jarek
          jarek

          Nikt nic o Clojure nie powie?

        14. Awatar Królik
          Królik

          Może nikt nic nie pisał?
          Próbowałem Closure, ale Scala jakoś mi bardziej do gustu przypadła.

  7. Awatar Rogal
    Rogal

    Ajajaj, ach ta Java – teraz po prostu trzeba korzystać ze wszystkiego z głową, a jak się sprawa rozwinie? Zobaczymy za jakiś czas.

    To środowisko daje cholernie duże możliwości, ale swoją wagę ma niestety….może to sprawi, że modne będzie coś innego?

    Co do samej kwestii luki – znajomy z Wielkiej Brytanii wspominał mi o tym, że jest w stanie stworzyć prosty kod który przez lukę w Java się wykona – oczywiście go wyśmiałem 😉 Jak widać jednak jest się czego bać…

    No to pora usunąć Jave i zobaczyć jak ciężko będzie bez niej żyć 🙂

    1. Awatar norbert_ramzes
      norbert_ramzes

      Podobnie PHP umożliwia własną obsługę błędów ale teoretycznie obsługa błędów "Fatal" nie jest możliwa – jest na to prosty hack przy wykorzystaniu "nieudokumentowanego" ficzera 🙂

      1. Awatar chester
        chester

        Ale podać link do rozwiązania to już za ciężko było?
        Może jednak się podzielisz z ogółem tym sposobem?

        1. Awatar Rogal
          Rogal

          Na chwilę obecną możliwe jest więc jedynie zastosowanie tymczasowych środków zaradczych, które niestety są zależne od stosowanej przeglądarki internetowej.

          Chyba jedyne uniwersalne rozwiązanie na ten moment to usunięcie Javy z komputera…w sumie niewiele stron jest od niej uzależnione w więcej niż 50 procentach.

        2. Awatar Królik
          Królik

          Wystarczy wyłączyć Javę w przeglądarce. Nie trzeba jej usuwać z systemu.

        3. Awatar noscipt
          noscipt

          Wystarczy NoScript

        4. Awatar norbert_ramzes
          norbert_ramzes

          Ale podać link do rozwiązania to już za ciężko było?
          Może jednak się podzielisz z ogółem tym sposobem?

          Ciekawiło mnie czy ktoś będzie zainteresowany 😀

          Generalnie sam wymyśliłem dwa dość kiepskie metody, a jakiś czas później, dosłownie przypadkiem znalazłem fajne rozwiązanie ale za pierona nie mogę teraz tego odnaleźć. Ale za to mam swoje eksperymentalne rozwiązanie bazując na tamtym.

          screen

  8. Awatar Rogal
    Rogal

    Hmm, czyli Java wyświetli błąd kiedy powstanie odwołanie do czegoś do czego nie powinna mieć praw dostępu?

  9. Awatar flatron
    flatron

    Dziura załatana:
    http://java.sun.com/javase/6/webnotes/6u20.html

  10. Awatar Hoyer lift
    Hoyer lift

    Nice blog

  11. Awatar Jesus Birely
    Jesus Birely

    I have to voice my respect for your kind-heartedness supporting persons that need help with that idea. Your personal commitment to getting the solution along had become incredibly productive and has really empowered men and women much like me to realize their goals. Your entire warm and helpful recommendations denotes a whole lot a person like me and especially to my mates. Thanks a ton; from all of us.

  12. Awatar Ashli Sudbury
    Ashli Sudbury

    A lot of thanks for your whole efforts on this site. Kim takes pleasure in working on investigation and it’s simple to grasp why. Most people learn all relating to the dynamic tactic you create reliable tricks by means of this web site and in addition increase participation from some others about this subject matter plus my simple princess is undoubtedly being taught so much. Have fun with the remaining portion of the year. You’re carrying out a splendid job.

  13. Awatar Antonio Mieloszyk
    Antonio Mieloszyk

    I am also writing to make you be aware of of the extraordinary encounter our girl gained visiting the blog. She even learned many issues, which included what it is like to have an awesome coaching mindset to let the rest just comprehend some grueling subject areas. You undoubtedly exceeded my desires. Many thanks for supplying those useful, trusted, edifying and even fun guidance on this topic to Janet.

  14. Awatar Myrna Besemer
    Myrna Besemer

    Thanks a lot for providing individuals with such a nice possiblity to discover important secrets from this website. It is often so pleasurable plus full of amusement for me and my office friends to visit your website at minimum three times a week to learn the newest secrets you have. And of course, we’re actually contented concerning the awesome opinions served by you. Certain two areas in this article are in truth the most effective we have ever had.

  15. Awatar Salvador Stlucien
    Salvador Stlucien

    This domain appears to recieve a great deal of visitors. How do you advertise it? It offers a nice unique spin on things. I guess having something useful or substantial to give info on is the most important factor.

  16. Awatar full movies review
    full movies review

    I don’t know if I completey agree with a couple of your statements, but you know there is always a need for this. I enjoyed your stuff keep it up.

  17. Awatar Criselda Bourgeault
    Criselda Bourgeault

    I needed to draft you a little note to finally say thank you yet again with your precious techniques you have provided at this time. It has been simply extremely open-handed with you to offer openly just what many people would have sold for an e-book to generate some profit on their own, principally seeing that you might have done it in the event you wanted. The ideas in addition served to become a great way to realize that other people have a similar desire really like my personal own to see a good deal more concerning this problem. I’m sure there are a lot more fun opportunities up front for individuals who check out your site.

  18. Awatar dubturbo
    dubturbo

    I’m definitely happy that I found your website, it had basically everything as far as the information I’ve been looking for

  19. Awatar dubturbo review
    dubturbo review

    http://www.articlesbase.com/internet-marketing-articles/auto-profit-sniper-review-does-auto-profit-sniper-really-work-4329672.htmlauto profit sniper

  20. Awatar magniwork
    magniwork

    @Dan I get your drift on where you were going there. I often think of my past and use it as a means to analyze where I am and where I want to get to. Where I struggel is balancing it all out. How do you guys balance things out?

  21. Awatar asics
    asics

    I ACTUALLY was initially pretty pleased to find this web-site.I want to to appreciate it for your time with this excellent study!! I ACTUALLY absolutely taking advantage of every single little it all and I’ve you saved as a favorite to check out brand-new things you text.

  22. Awatar Alveo
    Alveo

    Very informative post. Thanks for taking the time to share your view with us.

  23. Awatar scooter parts
    scooter parts

    I appeared to be happy to discover this particular web-site.I want to to thanks for your time with this excellent learn!! I ACTUALLY surely having fun with every single little it all and I have you book-marked to check out brand-new things you writing.

  24. Awatar masturbator
    masturbator

    ways to improve sperm morphology low sperm count motility normal sperm quantity average sperm count in one ejaculation ejaculate every day ejaculate sperm sperm volume pills review how can you improve sperm morphology sperm increase medicine improve sperm quality low sperm count success stories how to increase volume of sperm sperm motility foods to improve sperm motility foods that increase ejaculation sperm ejaculation speed what makes seminal fluid sperm quantity increase sperm quality and alcohol ejaculate volume

  25. Awatar zero friction marketing
    zero friction marketing

    Say thanks a lot for your energy to have decided to put these things together on this website. Robin and I very much appreciated your insight through the articles over certain things. I am aware that you have numerous demands on your timetable therefore the fact that a person like you took all the time like you did to steer people just like us by way of this article is also highly liked.

  26. Awatar Alveo
    Alveo

    Great Post. I add this Post to my bookmarks.

  27. Awatar Norene Cretella
    Norene Cretella

    I love this page theme One of the best I’ve seen.

  28. Awatar window replacement
    window replacement

    Hello! I simply wish to give a huge thumbs up for the nice data you will have right here on this post. I can be coming again to your blog for more soon.

  29. Awatar Commercial Aquaponics
    Commercial Aquaponics

    Spot on with this write-up, I actually suppose this web site needs rather more consideration. I’ll probably be once more to read much more, thanks for that info.

  30. Awatar payday loan fast cash
    payday loan fast cash

    This is too guide. I must say I really like encountering this a lot. It can help me to get better knowledge of about the subject. It is very well written and published. I shall definitely find these content material pretty fascinating. I really hope it is possible to supply more in the future.

  31. Awatar download
    download

    your internet site is not showing up properly in my browser?

  32. Awatar Kredyty
    Kredyty

    You certainly deserve a round of applause for your post and more specifically, your blog in general. Very high quality material.

  33. Awatar Loreta Pych
    Loreta Pych

    I love your blog design One of the greatest I’ve seen.

  34. Awatar equityfeed review
    equityfeed review

    It truly is rare to discover an expert in whom you will surely have some confidence. In the world in the present day, nobody truly cares about showing others the best way in this subjecttopic. How blessed I am to have now found a really wonderful blog as this. It is really people like you who make a true difference currently through the suggestions they share.

  35. Awatar Blair Litzenberg
    Blair Litzenberg

    Heya just wanted to give you a quick heads up and let you know a few of the images aren’t loading properly. I’m not sure why but I think its a linking issue. I’ve tried it in two different internet browsers and both show the same results.

  36. Awatar fullmmovies.com
    fullmmovies.com

    This is very interesting, You’re a very skilled blogger. I have joined your rss feed and look forward to seeking more of your great post. Also, I have shared your web site in my social networks!

  37. Awatar Ellen Zidzik
    Ellen Zidzik

    I in addition to my friends were checking out the great suggestions on your web page then immediately came up with an awful suspicion I never expressed respect to the website owner for those secrets. The women were as a consequence happy to learn them and have clearly been enjoying those things. I appreciate you for indeed being very accommodating and for opting for such magnificent information millions of individuals are really needing to know about. My personal sincere regret for not saying thanks to earlier.

  38. Awatar Tonja Atchison
    Tonja Atchison

    A lot of thanks for all your valuable labor on this website. Gloria take interest in engaging in investigations and it’s easy to see why. My spouse and i know all of the powerful form you provide advantageous tactics by means of your web site and therefore increase participation from visitors on that situation plus my simple princess has always been understanding a lot of things. Take pleasure in the rest of the new year. You have been doing a terrific job.

  39. Awatar oczyszczalnie sciekow
    oczyszczalnie sciekow

    This is often what I am attempting to find. That is what I refer to valuable. The data provided in here will be to the most. I need to say you need to have invested it slow in setting every one of these content collectively. They are related to your product. I’ll endorse this specific to the world and to all my buddies. I shall go back here to try out the amount of deliver the results. I appreciate you for generating these transpire.

  40. Awatar Baseball
    Baseball

    As in the poem, I “hope your road is a long one, full of discovery, full of adventure.”

  41. Awatar Alveo Akuna
    Alveo Akuna

    I just book marked your blog on Digg and StumbleUpon.I enjoy reading your commentaries.

  42. Awatar free chat rooms online
    free chat rooms online

    hey there men any person in facebook here i could comply with since you just about all roxk

  43. Awatar miu miu shoes
    miu miu shoes

    I didnЎЇt quite get this when I first read it. But when I went through it a second time, it all became clear. Thanks for the insight.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *