Jump to content
Geekforum.cz

[SW Zajímavost #2] Java dostává další zásah - nové chyby v 7 Update 11


EeRa
 Share

Recommended Posts

Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.

 

Vítejte u dalšího dílu CDR SecUpdate - pro třetí týden 2013. Dnes jsou na programu opět další chyby v Javě, které se nyní stávají noční můrou bezpečnostních expertů a sysadminů. Adam Gowdiak a jeho tým totiž objevil v podobném stylu jako v srpnu další chyby v celosvětově rozšířené platformě od Oraclu.

 

 

Chyby v softwaru

Java - zranitelnosti nultého dne

 

Týká se verzí: Java 7 Update 11

Upozornění: Pokud pracujete v psychiatrické léčebně, očekávajte v následujících dnech časté návštěvy systémových administrátorů.

 

Minulý týden jsme informovali o novoroční chybě v Javě, která umožňovala nejrůznějším útočníkům získat plný vzdálený přístup k systému oběti. Oracle zareagoval kupodivu poměrně rychle a v noci na minulé pondělí vydal aktualizaci 7 update 11. Jinde by to byl konec příběhu, ne však u Javy.

Již pár hodin po vydání patche Esteban Guillardoy z Immunity hlásal, že záplata opravuje pouze jednu ze dvou kritických chyb a pro znalého útočníka nebude problém se do Javy dostat v kombinaci s jinou dírou. Pro Oracle nechvalně známá firma Security Explorations, která se dlouhodobě zabývá slabými místy v platformě Java, se podívala na celou věc ještě detailněji a Adam Gowdiak (ano, jako na konci srpna 2012) informoval svět na webu FullDisclosure o dalších dvou chybách, které čekají na zneužití.

"Nechat MBeanInstantiator neopravený byla přímo pozvánka na další hack. Stačilo najít další bug a zkombinovat jej s tím aktuálním. Nakonec jsme se však rozhodli na něj nespoléhat a najít dvě úplně nové chyby." řekl Gowdiak.

 

snimek_obrazovky_2013-01-21_v_9.49.45.png

 

Původní exploit (kód zneužívající zranitelnost) z předminulého týdne byl objeven v exploit kitech (BlackHole, Reddit…) po Novém roce. Údajně se dokonce jednalo o novoroční dárek věrným zákazníkům těchto nelegálních nástrojů pro hromadné počítačové útoky.

Java je pro počítačové kriminálníky výhodný podnik, protože běží na všech hlavních platformách a hacker tak nemusí přepisovat kód pro jednotlivé systémy. Současně s tím je velmi rozšířená - Javu používá přes miliardu zařízení celosvětově (v počítačových systémech to budou stovky miliónů).

Java svým nedostatkem bezpečnosti mění i průmysl penetračního testování. Nejrychlejší dveře do obvyklého systému býval Internet Explorer a Adobe Reader, dnes je to platforma Oraclu.

 

 

Doporučené chování

Opět pokud chcete mít opravdu jistotu, Javu zakažte v prohlížeči. Můžete Javu také zakázat globálně v systému jedním klikem přes Ovládací panel (Java Control panel - javacpl.exe). Další možnost je zakázat zásuvný modul v prohlížeči, pro oba případy Oracle vydal návod.

 

firefox-java.jpg

 

Například Mozilla Firefox vydala automaticky k Java doplňku varování o výše zmíněných zranitelnostech a doporučuje použití s dávkou opatrnosti. Včera se mi dokonce zdálo, že i přes povolení používat Javu ji implicitně zakáže.

Banky reagují a doporučují alespoň aktualizaci na nejnovější verzi (co jim také zbývá, když bankovnictví běží na Javě).

 

Zdroj: http://cdr.cz

Autor: Jiří Moos

Link to comment
Share on other sites

V mém případě FF automaticky Javu zablokoval...

 

Mimochodem, pokud máte banku, která staví bankovnictví na Jave, tak radím rychle pryč. Očividně je plná lidí, kteří to v hlavě nemají úplně v pořádku a podobným lidem není dobré svěřovat své peníze :).

Link to comment
Share on other sites

ja si prave naopak myslim ze v enterprise business aplikacich je pouziti javy nebo .netu mnohem lepší než třeba PHPko ;)

 

ale bavim se tu o použití javy na straně banky :) (*.jsf, *.jsp a podobně v url). Tam je ta bezpečnost trošinku jinde (java policy a podobně) - hlavně do toho admini vidí ;)

 

Jamira40: to smrdi flamem tohle :D

 

ntdrt: ona nějaká banka vyžaduje pro svoje bankovnictví tlustýho klienta ? (rozumněj javovskou aplikaci spuštěnou na straně klienta)

Link to comment
Share on other sites

@Jamira40

Tady se bavíme o Jave na straně klienta. Z pohledu bezpečnosti je to nejhorší řešení na světě. Stejně tak mít bankovnictví ve flashy. Zkrátka to není normální :D.

 

Navíc to obtěžuje zákazníka.

 

@Ariczek

Ano a o tom přesně mluvím :). Nevěřil jsem tomu ale v ČR to existuje :D.

 

Jinak z pohledu bezpečnosti nevidím "plus" u žádného existujícího řešení. PHP, Java nebo .NET. To je fuk, všechno je to stejné. Dost by mě zajímal tvůj názor a důvod proč si to myslíš.

Link to comment
Share on other sites

Mám blízkého kolegu programátora z Wincor Nixdorf, dle jeho slov nepoužívají pro bankovní sektor jiný nástroj než je Java. A to jsou i klientské front-endy (velkoobchodní systémy, bankomaty, čtečky). Takže nevím ntdrt, ale asi jsi chytřejší než všichni ostatní dohromady.

 

Já mluvím o internetovém bankovnictví a webu, ty mluvíš o bankomatu? ... Tam Javu spravuje administrátor, stejně tak jako na serverech - nikdo si nenainstaluje děravou verzi a počká, až se otestuje = je jedno, jaká platforma se použije.

 

Tady jde ale o Java applety na webu, což je úplně jiná kategorie, než dělá tvůj kamarád.

 

Nejsem chytřější než ostatní, jen ty neumíš číst.

Link to comment
Share on other sites

Já mluvim i o internetovém bankovnictví (zahrnuto v "klientské front-endy"), i o obchodních systémech na business-to-business trzích, ať už se jedná o aplikace na placení nebo na správu cokoliv, co má s penězi co do činění. Například nejznámnější česká platební brána od csas 3DSecure je z části postavená na javě, teď jsem pro ni něco programoval v práci. A těch javovských aplikací (či jsp) bude i v oblastech přímo internetového bankovnictví hodně.

 

A neříkej mi co dělá můj kamarád, pochybuji, že víš co dělá. Dělí mj. klientské aplikace v javě pro bankovní sektor.

Link to comment
Share on other sites

@Xmat

Doufej v to, že nechápeš co je to Java Applet a co znamená pojem internetové bankovnictví, popřípadě webová stránka. V opačném případě by si byl nejspíše nejhloupější člověk na světě a nic by tvojí blbost neomluvilo.

 

Debatovat o tom, co (ne)dělá tvůj kamarád je super ale nikam to nevede a nemá to žádnou spojitost s touto diskuzí. Až budu mít náladu se bavit o blbostech, tak ti dám vědět. Nyní na to ale není správná doba a tak je čas to ukončit.

 

Na konec ti dám hned dvě cenné rady: urychleně změň zaměstnání (třeba na pekaře, to zní zajímavě) a přestaň pomlouvat svoje kamarády (tak se chovají jen svině a to ty přece nejseš).

 

@Eessencia

No jó. Tady se člověk nemůže ani pobavit :(.

Link to comment
Share on other sites

Alespoň netvrdím, že cpát klientům Javu místo HTML je super věc a že toto řešení exceluje v bezpečnosti :D.

 

Nejsem namyšlený ani hloupý. Jenom neuznávám tvojí autoritu, jelikož si to za podobné tvrzení zkrátka nezasloužíš. Nevíš o co jde a píšeš tady kraviny.

 

Nenapsal si ani jediný argument a vše stavíš na tom, že to tvůj kamarád dělá tak a tak :P.

Link to comment
Share on other sites

  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...