Mga mananaliksik: Malubhang lamat sa Java Runtime Environment para sa mga desktop, server

Java na mga hunters sa kahinaan mula sa Polish security research firm Ang Security Explorations ay nag-claim na may natagpuan ng isang bagong kahinaan na nakakaapekto sa pinakabagong bersyon ng desktop at server ng ang Java Runtime Environment (JRE).

Ang kahinaan ay matatagpuan sa component ng Reflection API ng Java at maaaring magamit nang lubusan sa pamamagitan ng sandbox ng Java security at magsagawa ng arbitrary code sa mga computer, sinabi ni Adam Gowdiak, ang CEO ng Security Explorations. isang email na ipinadala sa buong mailing list ng Pagsisiwalat. Ang kapintasan ay nakakaapekto sa lahat ng mga bersyon ng Java 7, kabilang ang Java 7 Update 21 na inilabas ng Oracle noong Martes at ang bagong paketeng Server JRE na inilabas sa parehong oras, sinabi niya.

Habang ang pangalan ay nagpapahiwatig, ang Server JRE ay isang bersyon ng Java Runtime Environment na idinisenyo para sa pag-deploy ng Java server. Ayon sa Oracle, ang Server JRE ay hindi naglalaman ng plug-in ng Java browser, isang madalas na target para sa mga pagsasamantalang batay sa Web, ang auto-update na bahagi o ang installer na natagpuan sa regular na pakete ng JRE.

[Karagdagang pagbabasa: Paano upang alisin ang malware mula sa iyong Windows PC.

Bagama't alam ng Oracle na ang mga kahinaan ng Java ay maaari ring mapagsamantalahan sa pag-deploy ng server sa pamamagitan ng pagbibigay ng malisyosong input sa mga API (interface ng programming application) sa mga mahina na bahagi, ang mensahe nito sa pangkalahatan ay ang karamihan ng Java ang mga kahinaan ay nakakaapekto lamang sa plug-in ng browser ng Java o na ang mga pangyayari sa pagsasamantala para sa mga flaws ng Java sa mga server ay hindi maaaring gawin, sinabi ni Gowdiak Martes sa pamamagitan ng email.

"Sinubukan nating gawing mga user na ang mga claim ng Oracle ay hindi tamang may kinalaman sa epekto ng Java SE kahinaan, "sabi ni Gowdiak. "Napatunayan namin na ang mga bug na sinusuri ng Oracle na nakakaapekto lamang sa Java plug-in ay maaaring makaapekto sa mga server pati na rin."

Noong Pebrero, ang Security Explorations ay naglathala ng isang proof-of-concept exploit para sa isang Java vulnerability classified na plug-in- batay na maaaring magamit upang salakayin ang Java sa mga server gamit ang RMI (remote method invocation) protocol, sinabi ni Gowdiak. Sinabi ng Oracle ang RMI attack vector sa pag-update ng Java noong nakaraang linggo, ngunit ang iba pang mga paraan ng paglusob sa pag-deploy ng Java sa mga server ay umiiral, sinabi niya.

Hindi pinapatunayan ng mga mananaliksik sa Seguridad sa Paggalaw ang matagumpay na pagsasamantala sa bagong kahinaan na natagpuan nila laban sa Server JRE, ngunit nakalista nila ang mga kilalang Java API at mga bahagi na maaaring magamit upang i-load o isakatuparan ang hindi pinagkakatiwalaang code ng Java sa mga server.

Kung ang isang vector ng atake ay umiiral sa isa sa mga sangkap na binanggit sa Gabay 3-8 ng "Mga Mga Alituntunin ng Secure Coding para sa isang Java ng Oracle Ang Programming Language, "Ang pag-deploy ng Java server ay maaaring maatake sa pamamagitan ng isang kahinaan tulad ng iniulat ng Lunes sa Oracle, sinabi ni Gowdiak.

Ang mananaliksik ay nag-isyu sa paraan ng Reflection API na ipinatupad at na-audit para sa mga isyu sa seguridad sa Java 7, dahil ang bahagi ay ang pinagmulan ng maramihang mga kahinaan sa ngayon. "Ang Reflection API ay hindi angkop sa modelo ng seguridad ng Java nang napakahusay at kung ginamit nang hindi wasto, madali itong humantong sa mga problema sa seguridad," sabi niya.

Ang bagong pagkakamali ay isang tipikal na halimbawa ng kahinaan ng Reflection API, sinabi ni Gowdiak. Ang kahinaan na ito ay hindi dapat naroroon sa Java 7 code isang taon pagkatapos ng generic na problema sa seguridad na nauugnay sa Reflection API na iniulat sa Oracle sa pamamagitan ng Mga Explorations sa Seguridad, sinabi niya.