Araştırmacılar Java 7'deki Kritik Kırılganlıkları Buldu

Polonya merkezli güvenlik firması Security Explorations'tan güvenlik araştırmacıları, Java 7 güvenlik güncelleştirmesindeki güvenlik açığı Perşembe günü açıklandı.

Polonya merkezli güvenlik firması Security Explorations'ın güvenlik araştırmacıları, Java korumalı ortamından kurtulmak ve isteğe bağlı kod çalıştırmak için kullanılabilecek Java 7 güvenlik güncelleştirmesinde Perşembe günü yayımlanan bir güvenlik açığını ortaya çıkardığını iddia ediyor. Altta yatan sistemde.

Güvenlik Araştırmaları, Cuma günü güvenlik açığı hakkında bir kanıt sunarak, bir kanıtlama kanıtı olan güvenlik duvarı kurucusu ve CEO'su Adam Gowdiak, Cuma günkü e-posta yoluyla yaptığı açıklamada bulundu.

Gowdiak, Oracle'ın bu soruna yanıt verene kadar, güvenlik açığı hakkındaki tüm teknik ayrıntıları serbest bırakmayı planladığını söyledi.

[Daha fazla okuma: Kötü amaçlı yazılım nasıl kaldırılır? Windows PC'niz

Oracle, Perşembe günü normal dört aylık yama döngüsünden çıkarak, saldırganların kötü amaçlı bilgisayarlara bulaşmalarını önlemek için saldırganlar tarafından kullanıldıkları da dahil olmak üzere üç güvenlik açığını ele alan bir acil durum güvenlik güncelleştirmesi olan Java 7 Güncelleştirme 7'yi yayınladı. Geçtiğimiz hafta

Java 7 Update 7, Oracle'a göre, doğrudan güvenlik açığı bulunmayan, ancak diğer güvenlik açıklarının etkisini daha da kötüleştiren bir "güvenlik derinliği sorunu" nu daralttı.

Yama Gowdiak'ın bir "sömürü vektörü" dediği "güvenlikle ilgili sorun" dan, daha önce Polonyalı güvenlik firması tarafından Oracle'a sunulan tüm kavram kanıtı (PoC) Java Sanal Makinesi (JVM) güvenlik açıklarından yararlandı. etkisiz.

Gowdiak'a göre, Güvenlik Araştırmaları özel olarak saldırganların aktif olarak kullandığı ikisi de dahil olmak üzere, Java 7'de Nisan ayında Oracle'a kadar olan 29 güvenlik açığını bildirdi.

Raporlara toplam 16 adet of-yoğunlaşmayla Bu güvenlik açıklarını, Java sanal alanını tümüyle aşmak ve temel sistem üzerinde rasgele kod yürütmek için bir araya getiren pt açıkları.

Java 7 Sun.awt.SunToolkit sınıfının uygulanmasından getField ve getMethod yöntemlerinin kaldırılması 7 Güncelleme 7 Gowdiak, Güvenlik Araştırmaları'nın PoC patlamasının "Gowdiak" dedi.

Bununla birlikte, bu, "sömürü vektörü" nin kaldırılmasından kaynaklanıyordu, çünkü, patlamalar tarafından hedeflenen tüm güvenlik açıkları yandığından değil, Gowdiak şöyle dedi:

Güvenlik tarafından keşfedilen yeni güvenlik açığı Java 7 Güncellemesi 7'deki araştırmalar, Oracle tarafından tamamlanmamış bir tam JVM sanal alan baypasını elde etmek için kaldırılan güvenlik açıkları ile birleştirilebilir.

"Tam Java sanal alan atlama kodlarımızın güncellemenin uygulanmasından sonra çalışmayı durdurduğunu öğrendik. GOCdiak, POC kodlarına tekrar baktı ve en son Java güncellemesini nasıl tamamen ortadan kaldıracağımızı düşünmeye başladı. "Yeni bir fikir geldi, onaylandı ve bunun böyle olduğu ortaya çıktı."

Gowdiak, Oracle'ın Nisan ayında Güvenlik İncelemeleri tarafından rapor edilen diğer güvenlik açıklarını veya güvenlik şirketi tarafından sunulan yeni güvenlik açıklarını ele almayı planladığını bilmiyor. Cuma günü.

Oracle'ın daha önce planladığı gibi Ekim ayında yeni bir Java güvenlik güncellemesi yayınlayıp yayınlamayacağı açık değil. Şirket derhal yorum talebinde bulunmadı.

Güvenlik araştırmacıları her zaman, eğer satıcılar bildirilen bir güvenlik açığını gidermek için çok fazla zaman harcarlarsa, o zamanlar kötü adamlar tarafından keşfedilebiliyorsa, zaten bilmedikleri konusunda uyardılar. Bununla ilgili.

Farklı böcek avcıları için aynı üründe aynı güvenlik açığını bağımsız olarak keşfetmeleri birçok kez gerçekleşti ve Java 7 Güncellemesi tarafından ele alınan iki aktif olarak çalıştırılan Java güvenlik açıklarında da böyle bir durum yaşanmış olabilir. Gowdiak, “Bağımsız keşifler asla dışlanamaz” dedi. "Bu özel sorun [yeni güvenlik açığı] bulmak biraz daha zor olabilir."

Gowdiak, şu ana kadar Java savunmasızlıkları için avlanma yapan Güvenlik Araştırmaları araştırmacılarının deneyimlerine dayanarak Java 7'den daha iyi bir güvenliğe sahipti. "Java 7, bizim için kırılması bizim için şaşırtıcı derecede daha kolaydı." Dedi. "Java 6 için, Apple Quicktime for Java yazılımı içinde keşfedilen sorun haricinde, tam bir sanal alandan ödün vermeyi başaramadık."

Gowdiak, daha önce birçok güvenlik araştırmacısının söylediklerini yineledi: İhtiyacınız yoksa Java, sisteminizden kaldır.