Badacze: Poważna usterka w środowisku Java Runtime Environment dla komputerów stacjonarnych, serwerów

Łowcy szukający luk w zabezpieczeniach Java z polskiej firmy badawczej Security Explorations twierdzą, że znaleźli nową lukę w zabezpieczeniach, która dotyczy najnowszych wersji komputerów i serwerów. Środowisko Java Runtime Environment (JRE).

Luka w zabezpieczeniach znajduje się w komponencie Java Reflex API i może zostać wykorzystana do całkowitego ominięcia obszaru izolowanego Java Security i wykonania dowolnego kodu na komputerach, Adam Gowdiak, CEO Security Explorations, powiedział w poniedziałek wiadomość e-mail wysłana na listę mailingową Full Disclosure. Wada dotyczy wszystkich wersji Java 7, w tym Java 7 Update 21, która została wydana przez Oracle we wtorek i nowy pakiet Server JRE wydany w tym samym czasie, powiedział.

Jak sama nazwa wskazuje, Server JRE to wersja środowiska Java Runtime Environment zaprojektowanego dla wdrożeń serwera Java. Według Oracle, środowisko JRE serwera nie zawiera wtyczki do przeglądarki Java, częstego celu dla exploitów opartych na sieci Web, komponentu do automatycznej aktualizacji lub instalatora znalezionego w standardowym pakiecie JRE.

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

Chociaż Oracle zdaje sobie sprawę, że luki w Javie mogą być również wykorzystywane na serwerach poprzez dostarczanie złośliwych danych wejściowych do interfejsów API (interfejsów programowania aplikacji) w wrażliwych komponentach, jego komunikat jest generalnie taki, że większość Javy luki mają wpływ tylko na wtyczkę do przeglądarki Java lub że scenariusze wykorzystania błędów Java na serwerach są mało prawdopodobne, Gowdiak powiedział we wtorek za pośrednictwem poczty elektronicznej.

"Chcieliśmy uświadomić użytkownikom, że roszczenia Oracle są nieprawidłowe w odniesieniu do wpływu Java Luki SE - powiedział Gowdiak. "Udowodniliśmy, że błędy analizowane przez Oracle jako wpływające tylko na wtyczkę Java mogą również wpływać na serwery."

W lutym Security Explorations opublikował exploit typu proof-of-concept dla luki Javy sklasyfikowanej jako plug-in w oparciu o to, co mogłoby zostać wykorzystane do ataku na serwery Java za pomocą protokołu RMI (remote method inocation), powiedział Gowdiak. W zeszłym tygodniu Oracle zaadresował wektor ataków RMI w aktualizacji Java, ale istnieją inne metody atakowania serwerów Java na serwerach.

Naukowcy z Security Explorations nie sprawdzili, czy udało się wykorzystać nową lukę, którą znaleźli na serwerze JRE, ale wymienili znane interfejsy API języka Java i komponenty, które mogą być używane do ładowania lub uruchamiania niezaufanego kodu Java na serwerach.

Jeśli wektor ataku istnieje w jednym z komponentów wymienionych w wytycznej 3-8 "Wytyczne dotyczące bezpiecznego kodowania Oracle" Programming Language, "Wdrożenie serwerów Java może zostać zaatakowane przez lukę w zabezpieczeniach podobną do zgłoszonej w poniedziałek firmie Oracle, powiedział Gowdiak.

Badacz nie zgadzał się ze sposobem implementacji interfejsu Reflection API w zakresie bezpieczeństwa w Java 7, ponieważ składnik jest źródłem wielu luk w zabezpieczeniach. "Interfejs API Reflection nie pasuje do modelu zabezpieczeń Java bardzo dobrze i jeśli zostanie użyty nieprawidłowo, może łatwo doprowadzić do problemów z bezpieczeństwem", powiedział.

Ta nowa wada jest typowym przykładem słabości interfejsu Reflection API, powiedział Gowdiak. Ta luka nie powinna występować w kodzie Java 7 rok po tym, jak ogólny raport bezpieczeństwa dotyczący interfejsu Reflection API został zgłoszony Oracle przez Security Explorations, powiedział.