Forskere finder kritisk sårbarhed i Java 7 Patch timer efter frigivelse

Sikkerhedsforskere fra polskbaseret sikkerhedsfirma Sikkerhedseksperter hævder at have opdaget en sårbarhed i Java 7-sikkerhedsopdateringen udgivet torsdag, der kan udnyttes til at undslippe Java-sandkassen og udføre vilkårlig kode på det underliggende system.

Security Explorations sendte fredag ​​en rapport om sårbarheden til Oracle sammen med et bevis på konceptudnyttelse, Adam Gowdiak, sikkerhedsfirmaets grundlægger og administrerende direktør, sagde fredag ​​via email.

Virksomheden gør ikke Jeg vil ikke frigive tekniske detaljer om sårbarheden offentligt, før Oracle adresserer det, sagde Gowdiak.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Oracle brød ud af sin regelmæssige fire måneders patchcyklus på torsdag for at frigive Java 7 Update 7, en nødsikkerhedsopdatering, der behandlede tre sårbarheder, herunder to, der blev udnyttet af angribere til at inficere computere med malware siden i sidste uge.

Java 7 Update 7 patchede også et "sikkerhedsdybende problem", som ifølge Oracle ikke var direkte udnyttet, men kunne have været brugt til at forværre virkningen af ​​andre sårbarheder.

Den patching af det "sikkerhedsdybende problem", som Gowdiak kalder en "udnyttelsesvektor", udleverede alle Java-Virtual Machine (JVM) sikkerheds-bypass-udnyttelser, som tidligere blev indsendt af det polske sikkerhedsfirma til Oracle , ineffektive.

Ifølge Gowdiak rapporterede Security Explorations privatpersoner 29 sårbarheder i Java 7 til Oracle tilbage i april, herunder de to, der nu aktivt udnyttes af angribere.

Rapporterne blev ledsaget af i alt 16 proof- of-konce pt-udbytter, der kombinerede disse sårbarheder for fuldstændigt at omgå Java-sandkassen og udføre vilkårlig kode på det underliggende system.

Fjernelsen af ​​getField og getMethod-metoderne fra implementeringen af ​​sun.awt.SunToolkit-klassen i Java 7 Update 7 deaktiveret alle af Sikkerhedsopdagelser 'PoC-udnyttelser, sagde Gowdiak. Men dette skyldes kun, at "udnyttelsesvektoren" blev fjernet, ikke fordi alle sårbarheder, der var målrettet af udnyttelserne, blev patched, sagde Gowdiak.

Den nye sårbarhed, der blev opdaget af Sikkerhed Undersøgelser i Java 7 Update 7 kan kombineres med nogle af de sårbarheder, der ikke er afleveret af Oracle, for at opnå en fuld JVM-sandbox-bypass igen.

"Når vi har fundet ud af, at vores komplette Java-sandbox-bypass-koder ikke længere fungerer, efter at opdateringen blev anvendt, vi kiggede igen på POC-koder og begyndte at tænke på de mulige måder til, hvordan man helt kan bryde den nyeste Java-opdatering igen, "sagde Gowdiak. "En ny ide kom, det blev verificeret, og det viste sig, at det var det."

Gowdiak ved ikke, hvornår Oracle planlægger at løse de resterende sårbarheder, der blev rapporteret af sikkerhedsundersøgelser i april, eller den nye, der blev indsendt af sikkerhedsselskabet på fredag.

Det er ikke klart, om Oracle vil udsende en ny Java-sikkerhedsopdatering i oktober som den tidligere planlagde. Virksomheden rejste ikke straks en anmodning om kommentarer.

Sikkerhedsforskere har altid advaret om, at hvis sælgerne tager for meget tid til at løse en rapporteret sårbarhed, kan det blive opdaget af de onde i mellemtiden, hvis de ikke allerede ved det om det.

Det skete ved flere lejligheder, at forskellige bug-jægere opdagede den samme sårbarhed i det samme produkt uafhængigt, og det er det der også kunne ske i tilfælde af de to aktivt udnyttede Java-sårbarheder, der blev behandlet af Java 7 Update 7.

"Uafhængige opdagelser kan aldrig udelukkes", sagde Gowdiak. "Dette specifikke problem [den nye sårbarhed] kan dog være lidt sværere at finde."

Baseret på erfaringerne fra Security Explorations har forskere med jage på Java sårbarheder hidtil haft bedre sikkerhed end Java 7. "Java 7 var overraskende meget lettere for os at bryde," sagde Gowdiak. "For Java 6 lykkedes det os ikke at opnå et komplett sandkompromis, med undtagelse af problemet opdaget i Apple Quicktime for Java-software."

Gowdiak har gentaget, hvad mange sikkerhedsforskere har sagt før: Hvis du ikke har brug for det Java, afinstaller det fra dit system.