Výzkumníci: Vážná chyba v prostředí Java Runtime Environment pro servery

Lovci zranitelnosti v jazyce Java od polské bezpečnostní výzkumné společnosti Security Explorations prohlašují, že našli novou chybu zabezpečení, která ovlivňuje nejnovější desktopové a serverové verze Java Runtime Environment (JRE).

Tato chyba zabezpečení se nachází v komponentě Java Reflection API a může být použita k úplnému obejití bezpečnostního karantény Java a spuštění libovolného kódu v počítačích, řekl Adam Gowdiak, generální ředitel průzkumu bezpečnosti. e-mail odeslán do mailing listu pro úplné zpřístupnění informací. Chyba se týká všech verzí Java 7, včetně Java 7 Update 21, která byla vydána minulý úterý společností Oracle a nový balíček Server JRE byl vydán ve stejnou dobu.

Jak název napovídá, server JRE je verze prostředí Java Runtime Environment určeného pro nasazení serverů Java. Podle serveru Oracle Server JRE neobsahuje plug-in prohlížeče Java, častý cíl pro webové zneužívání, součást automatické aktualizace nebo instalační program nalezený v běžném balíku JRE

. odstranění škodlivého softwaru z počítače se systémem Windows]

Přestože společnost Oracle si je vědoma toho, že zranitelnosti Java lze také využít na nasazení serverů tím, že poskytuje nebezpečné vstupy do rozhraní API (rozhraní pro programování aplikací) v ohrožených součástech, chyby zabezpečení ovlivňují pouze zásuvný modul Java prohlížeče nebo že scénáře vykořisťování pro chyby Java na serverech jsou nepravděpodobné, řekl Gowdiak v úterý prostřednictvím e-mailu.

"Snažili jsme se uvědomit uživatele, že tvrzení společnosti Oracle jsou nesprávné, pokud jde o dopad Java SE zranitelnosti, "řekl Gowdiak. "Dokázali jsme, že chyby, které společnost Oracle vyhodnotí jako ovlivňující pouze plug-in Java, mohou mít vliv i na servery."

V únoru vydala společnost Security Explorations licenci na důkaz o koncepci Java zranitelnosti klasifikované jako plug- které by mohly být použity k napadení Java na serverech pomocí protokolu RMI (remote method invocation), řekl Gowdiak. Oracle se minulý týden obrátil na RMI útokový vektor v aktualizaci Java, ale jiné metody útoku na nasazení na serverech Java existují.

Vědci v oblasti bezpečnostních průzkumů neověřili úspěšné využívání nové zranitelnosti, kterou našli proti serveru JRE, ale uvedli na seznamu známé rozhraní API Java a komponenty, které by mohly být použity k načtení nebo spouštění nedůvěryhodného Java kódu na serverech.

Pokud existuje útokový vektor v jedné z komponent uvedených v pokynech 3-8 pokynů Oracle Secure Coding Guidelines for Java Programovací jazyk, "nasazení serverů Java může být napadeno zranitelností, jako je zpráva ohlásená v pondělí společnosti Oracle," uvedl Gowdiak.

Výzkumný pracovník vzal na vědomí, že implementace Reflection API byla provedena a ověřena v bezpečnostních otázkách Java 7, byl dosud zdrojem mnoha zranitelností. "Aplikace Reflection API se velmi dobře nehodí do bezpečnostního modelu Java a pokud se používá nesprávně, může to snadno vést k bezpečnostním problémům."

Tato nová vada je typickým příkladem slabosti API Reflection, řekl Gowdiak. Tato chyba zabezpečení by neměla být obsažena v kódu Java 7 jeden rok poté, co generální bezpečnostní problém týkající se rozhraní API Reflection byl ohlášen společnosti Oracle Security Explorations.