İKi yaşındaki Java hatası, bozuk yama nedeniyle yeniden ortaya çıkıyor

Oracle tarafından 2013 yılında piyasaya sürülen kritik bir Java kusuru için bir yama etkisizdir ve kolayca atlanabilir, güvenlik araştırmacıları uyarır. Bu, güvenlik açığının yeniden kullanılabilir hale getirilmesini sağlar ve PC'lerin ve Java'nın en son sürümlerini çalıştıran sunuculara yönelik saldırıların önünü açar.

Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanında CVE-2013-5838 olarak izlenen kusur, tarafından değerlendirildi. Ortak Güvenlik Açığı Puanlama Sistemini (CVSS) kullanarak 10 üzerinden Oracle 9.3. Kimlik doğrulama olmaksızın, bir sistemin gizliliğini, bütünlüğünü ve kullanılabilirliğini tamamen tehlikeye atmak için uzaktan kullanılabilir.

İlk olarak Oracle'a yönelik kusurları rapor eden Polonyalı güvenlik firması Security Explorations'tan araştırmacılara göre, saldırganlar onu Java güvenliğinden kurtulmak için kullanabilirler. kum havuzu. Normal koşullar altında, Java Runtime Environment (JRE), Java kısıtlamalarına tabi bir sanal makinenin içinde Java kodu yürütür.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Perşembe günü, Güvenlik İncelemelerini açıkladı. Bu güvenlik açığının Oracle yaması bozuldu. Güvenlik açıklamaları CEO'su Adam Gowdiak, 2013 yılında yayınlanan konsept ispat kanıtı koduna dört karakterli bir değişiklik yaparak, üçlü bir şekilde atlanabiliyordu. Gowdiak firmasının yayınladığı bir mesajda, Güvenlik Açıklamaları CEO'su Adam Gowdiak yazdı.

baypasın nasıl daha detaylı çalıştığını açıklayan yeni bir teknik rapor.

Şirket araştırmacıları yeni istismarlarının Java'nın en yeni sürümlerinde başarılı bir şekilde test edildiğini iddia ediyor: Java SE 7 Güncelleme 97, Java SE 8 Güncelleme 74 ve Java SE 9 Erken Erişim Oluşturma 108.

Oracle, Ekim 2013'teki orijinal danışmanlığında, CVE-2013-5838'in yalnızca Java'nın istemci dağıtımlarını etkilediğini ve “korumalı Java Web Start uygulamaları ve korumalı Java uygulamaları aracılığıyla kullanılabilir. Güvenlik Sorguları, bu yanlış.

Gowdiak, "Bir Google Play Engine for Java'da olduğu kadar bir sunucu ortamında da başarılı bir şekilde kullanılabileceğini doğruladık." Dedi. İstemci tarafı, Java'nın varsayılan güvenlik seviyesi - sadece imzalanmış Java uygulamalarının çalışmasına izin verir ve tıkla oynat özelliği, azaltıcı etkenler olarak işlev görebilir. Bu güvenlik kısıtlamaları, otomatik olarak sessiz saldırıları engelleyebilir.

Güncel bir Java yüklemesinde güvenlik açığından yararlanabilmek için saldırganların, güvenlik istemlerini atlamalarına veya kullanıcıları onaylamalarına izin vermelerine olanak veren ayrı bir kusur bulmaları gerekir. zararlı uygulamalarının çalıştırılması. İkinci yol daha olasıdır.

Güvenlik İncelemeleri, açıklanmadan önce CVE-2013-5838 baypasını Oracle'a bildirmemiştir. Gowdiak'a göre şirketin yeni politikası, şirketin zaten satıcılara bildirdiği güvenlik açıkları için kırılmış düzeltmeler bulunduğunda derhal kamuoyuna bilgi vermektir.

“Kırık düzeltmeleri daha fazla tolere etmiyoruz” dedi.

Oracle, bu güvenlik açığını kapatmak için yalnızca acil bir Java güncellemesi gönderip tetiklemeyeceğini veya 19 Nisan için planlanan bir sonraki üç aylık Kritik Yama Güncellemesine kadar bekleyip beklemeyeceğini açıklamıyor.