#3 Java Runtime Environment (JRE) / Java Basics / Source Code
Ricercatori della sicurezza della società di sicurezza con sede in Polonia Security Explorations affermano di aver scoperto una vulnerabilità nell'aggiornamento per la sicurezza Java 7 rilasciato giovedì che può essere sfruttato per sfuggire alla sandbox Java ed eseguire codice arbitrario sul sistema sottostante.
Security Explorations ha inviato un rapporto sulla vulnerabilità a Oracle venerdì insieme a un exploit proof-of-concept, Adam Gowdiak, il fondatore e CEO dell'azienda di sicurezza, ha detto venerdì via e-mail.
La società non Non intendo rilasciare alcun dettaglio tecnico sulla vulnerabilità pubblicamente fino a quando Oracle non la indirizzi, Gowdiak ha detto.
[Ulteriori letture: Come rimuovere il malware da il tuo PC Windows]La scorsa settimana, Oracle ha rotto il suo ciclo di patch di quattro mesi per rilasciare Java 7 Update 7, un aggiornamento di sicurezza che risolve tre vulnerabilità, tra cui due che sono state sfruttate dagli aggressori per infettare i computer con malware da la settimana scorsa.
Java 7 Update 7 ha anche corretto un "problema di sicurezza in profondità" che, secondo Oracle, non era direttamente sfruttabile, ma avrebbe potuto essere utilizzato per aggravare l'impatto di altre vulnerabilità.
Il patching di quel "problema di sicurezza in profondità", che Gowdiak chiama un "vettore di sfruttamento", ha reso tutti gli exploit di bypass di sicurezza Java (JVM) Java (JVM) proof-of-concept precedentemente inviati dall'azienda di sicurezza polacca a Oracle , inefficace.
Secondo Gowdiak, Security Explorations ha segnalato 29 vulnerabilità in Java 7 a Oracle in aprile, inclusi i due che ora sono attivamente sfruttati dagli aggressori.
I report sono stati accompagnati da un totale di 16 prove- di-conce exploit di pt che combinavano queste vulnerabilità per bypassare completamente la sandbox Java ed eseguire codice arbitrario sul sistema sottostante.
La rimozione dei metodi getField e getMethod dall'implementazione della classe sun.awt.SunToolkit in Java 7 Update 7 disabilitato tutto degli exploit PoC di Security Explorations, ha detto Gowdiak.
Tuttavia, ciò è avvenuto solo perché il "vettore di sfruttamento" è stato rimosso, non perché tutte le vulnerabilità prese di mira dagli exploit sono state riparate, ha detto Gowdiak.
La nuova vulnerabilità scoperta da Security Esplorazioni in Java 7 L'aggiornamento 7 può essere combinato con alcune delle vulnerabilità lasciate senza patch da Oracle per ottenere nuovamente un bypass di sandbox JVM completo.
"Una volta scoperto che i nostri codici di bypass sandbox Java completi hanno smesso di funzionare dopo l'applicazione dell'aggiornamento, ha esaminato nuovamente i codici POC e ha iniziato a pensare ai possibili modi per interrompere completamente l'ultimo aggiornamento Java ", ha detto Gowdiak. "È arrivata una nuova idea, è stata verificata e si è scoperto che era proprio così".
Gowdiak non sa quando Oracle intende affrontare le restanti vulnerabilità segnalate da Security Explorations in aprile o da quella nuova presentata dalla società di sicurezza Venerdi.
Non è chiaro se Oracle pubblicherà un nuovo aggiornamento per la sicurezza Java in ottobre, come previsto in precedenza. La società non ha immediatamente restituito una richiesta di commento.
I ricercatori di sicurezza hanno sempre avvertito che se i fornitori impiegano troppo tempo per affrontare una vulnerabilità segnalata potrebbero essere scoperti dai cattivi nel frattempo, se non lo sanno già
È successo in più occasioni che diversi cacciatori di bug scoprissero la stessa vulnerabilità nello stesso prodotto in modo indipendente e questo è ciò che potrebbe essere accaduto anche nel caso delle due vulnerabilità Java sfruttate attivamente affrontate da Java 7 Update 7.
"Le scoperte indipendenti non possono mai essere escluse", ha detto Gowdiak. "Questo problema specifico [la nuova vulnerabilità] potrebbe essere tuttavia un po 'più difficile da trovare."
Basandosi sull'esperienza dei ricercatori di Security Explorations con la ricerca delle vulnerabilità Java finora, Java 6 ha una sicurezza migliore rispetto a Java 7. "Java 7 è stato sorprendentemente molto più facile da rompere", ha detto Gowdiak. "Per Java 6, non siamo riusciti a raggiungere un compromesso sandbox completo, tranne per il problema rilevato nel software Apple Quicktime per Java."
Gowdiak ha fatto eco a ciò che molti ricercatori di sicurezza hanno detto prima: Se non è necessario Java, disinstallalo dal tuo sistema.
I ricercatori trovano una vulnerabilità critica nelle patch Java 7 ore dopo la release
I ricercatori di sicurezza della società di sicurezza con sede in Polonia Security Explorations affermano di aver scoperto un vulnerabilità nell'aggiornamento della sicurezza Java 7 rilasciato giovedì.
I ricercatori individuano una vulnerabilità critica in Java 7 ore di patch dopo la release
La nuova vulnerabilità consente l'escape di una sandbox Java Virtual Machine completa in Java 7 Update 7, i ricercatori di Security Explorations affermano:
