Luka "zero-day" w Javie załatana! Ciekawostka: Polak wykrył ją 4 miesiące temu…

Kilka dni temu w Internecie pojawiły się informacje na temat luki „zero-day” w najnowszej Javie. O ile jednak do tej pory odpowiedzialna ona była za niewiele ataków, o tyle jest ona bardzo niebezpieczna.

Podstawowy kłopot ze złośliwym kodem wykorzystującym wspomnianą lukę jest bowiem taki, że na pierwszy rzut oka wygląda on jak każdy inny program Java bez śladu jakiegokolwiek egzotycznego kodu. Jak więc atakuje? Michael Schierl, który ma już na koncie wykrycie kilku luk w Javie, twierdzi, że wykorzystuje on błąd we wprowadzonej wraz z Javą 7 nowej metodzie dla klasy Expression. Dzięki niemu wykorzystuje on następnie klasę sun.awt.SunToolkit, dzięki której uzyskuje dostęp do metody zwanej getField pozwalającej na „dostęp do prywatnych atrybutów innych klas. Końcowy efekt tych działań to wyłączenie elementu Security Manager, który sprawdza, czy żądana operacja nie narusza ustalonej polityki bezpieczeństwa.

Kolejną bardzo niebezpieczną właściwością nowej luki jest to, że pozwala ona na zaatakowanie wszystkich platform: Windows, Linux i OS X.

Oracle szybko działa!

Na szczęście okazało się właśnie, że firma Oracle wydała patche łatające wykrytą w Javie Update 7 lukę. Możecie je pobrać tutaj.

Jak to możliwe?

Szybkość reakcji firmy Oracle pozytywnie zaskakuje. Jak jej się to udało? W bardzo prosty sposób. Łatka na wspomnianą lukę była już bowiem przygotowana i miała się ukazać w październiku wraz z cykliczną aktualizacją (wydawana ona jest co 4 miesiące).

Skąd się tam znalazła? Dzięki naszemu rodakowi Adamowi Gowdiakowi, który już w kwietniu poinformował Oracle o wykrytym błędzie.

Article source: http://pcworld.feedsportal.com/c/34536/f/632104/s/22ecd333/l/0L0Spcworld0Bpl0Cnews0C38510A60CLuka0Bzero0Bday0Bw0BJavie0Bzalatana0BCiekawostka0BPolak0Bwykryl0Bj0B40Bmiesi0Bce0Btemu0Bhtml/story01.htm

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *