Dva roky stará chyba v Javě znovu ohrožuje počítače kvůli problematické aktualizaci

Opravu chyb v Javě, kterou Oracle vydal v roce 2013, lze snadno obejít a zaútočit na její nejnovější verze.

Dva roky stará chyba v Javě znovu ohrožuje počítače kvůli problematické aktualizaci


Oprava kritické bezpečnostní chyby v Javě, kterou Oracle vydal v roce 2013, je neúčinná a lze ji snadno obejít. Bezpečnostní experti varují, že chyba je opět zneužitelná k útokům proti osobním počítačům a serverům s nainstalovanou některou z nejnovějších verzí Javy.

Chybu označovanou jako CVE-2013-5838 ohodnotil Oracle na stupnici závažnosti 9,3 body z 10. Lze ji zneužít na dálku bez ověření uživatele k úplnému narušení důvěrnosti, integrity a dostupnosti systému.

Podle výzkumníků polské bezpečnostní firmy Security Explorations, která původně chybu Oraclu oznámila, mohou útočníci s pomocí chyby vystoupit z bezpečnostního sandboxu Javy, v němž se za běžných okolností spouští veškerý kód.

Ve čtvrtek firma Security Explorations oznámila, že oprava chyby vydaná Oraclem nefunguje a je možné jí triviálním způsobem obejít změnou čtyř znaků v testovacím útočném kódu z roku 2013. Firma vydala i technickou zprávu, v níž podrobněji vysvětluje celý mechanismus.

Nový útok výzkumníci údajně úspěšně otestovali na nejnovějších verzích Javy: Java SE 7 Update 97, Java SE 8 Update 74 a Java SE 9 Early Access Build 108.

Zatím není zřejmé, zda Oracle vydá nouzovou záplatu, aby podchytil tuto zranitelnost, nebo zda počká na příští pravidelnou čtvrtletní aktualizaci s opravami kritických chyb, která má vyjít 19. dubna.

Zdroj: IDG News Service


Úvodní foto: archiv redakce




Komentáře