Dziura w Słońcu

W zabezpieczeniach Javy firmy Sun Microsystems wykryto krytyczną lukę. Pozwala ona na stworzenie 'złośliwej' strony WWW, która, używając funkcji JavaScript, umożliwi wykonanie kodu przez 'niezaufany' applet Javy. Błąd jest o tyle groźny, że dotyczy nie tylko Internet Explorera, ale wszystkich przeglądarek, korzystających z Javy koncernu Sun (niezależnie od platformy systemowej). Firma udostępniła już stosowne uaktualnienie.

Błąd ten został wykryty przez fińskiego konsultanta Jouko Pynnonena i opisany szczegółowo na stronie firmy Sun. Warto zaznaczyć, że Pynnonen wykrył ową lukę już w czerwcu - jednak z opublikowaniem jego pełnego opisu zwlekał do momentu przygotowania przez Sun uaktualnienia.

Uwaga na złośliwe strony!

Ekspert CERT Polska o błędzie w Javie

"Według specjalistów, ważność luki jest 'średnia' - oznacza to, ze jest możliwy atak, który polegałby na podsunięciu nieświadomemu użytkownikowi appletu, zawierającego kod umożliwiający np. czytanie i zapisywanie plików na dysku z jego prawami. Atak taki jednak jest dość trudny do przeprowadzenia i wymaga skierowania użytkownika na odpowiednio spreparowana stronę. Użytkownicy oczywiście powinni jak najszybciej uaktualnić systemy - każda luka może potencjalnie być wcześniej czy później wykorzystana w celu przeprowadzenia ataku. W przypadku akurat tej luki, ryzyko jest mniejsze, jednak w żadnym przypadku nie należy jej lekceważyć.

Błędy w Javie pojawiają się co jakiś czas. Rzadziej, co prawda, są całkowicie niezależne od platformy, raczej dotyczą konkretnych implementacji w systemach lub oprogramowaniu.

Załatana właśnie luka jest niezależna od platformy - jest równie groźna dla wersji Java dla Solarisa, Windows i Linuksa" - powiedział nam Slawomir Górniak z CERT Polska.

Wykryta przez Fina 'dziura' w Javie pozwala na stworzenie 'złośliwej' strony WWW, która, używając funkcji JavaScript, umożliwi wykonanie kodu przez 'niezaufany' applet Javy. Może to spowodować wyłączenie mechanizmów bezpieczeństwa i uzyskanie dostępu przez taki applet do normalnie niedostępnych i chronionych zasobów systemowych. W takiej sytuacji 'złośliwy' applet będzie posiadał takie same prawa, jak zalogowany do systemu użytkownik, co oznacza dostęp do lokalnej maszyny oraz zasobów sieciowych. Teoretycznie, umożliwia mu to nawet pobranie i zainstalowanie w systemie innych aplikacji (np. wirusa czy konia trojańskiego).

Dotyczy to środowiska uruchomieniowego Javy (JRE) w wersjach 1.4.2_05 i wcześniejszych, 1.4.1, 1.4.0, 1.3.1_12 i wcześniejszych, uruchomionych pod systemami Windows, Linux i Solaris. Późniejsze wersje Javy są pozbawione tego błędu. Sun zaleca jak najszybsze pobranie najnowszych wersji JRE i ich zaktualizowanie. Maszyny wirtualne innych producentów (IBM, czy Microsoft), jak i najnowsza wersja Javy firmy Sun - 5.0 - nie zawierają tego błędu.

Kto się musi uaktualnić?

Najwygodniejszym dla użytkownika sposobem sprawdzenia, jaka wersja Javy zainstalowana jest w systemie, jest wejście na stronę JavaTester - po załadowaniu się strony na różowym tle wyświetlona zostanie informacja o wersji JVM. Jeśli okaże się, że jest to Java firmy Sun, użytkownik może ją uaktualnić, otwierając Panel Sterowania i klikając pozycję Java Plug-in - wtedy wyświetlone zostanie okno Java Plug-in Control Panel. Należy wybrać w nim zakładkę Update i kliknąć polecenie "Update Now". Warto zaznaczyć, że w momencie publikowania tego tekstu w drodze automatycznej aktualizacji wciąż dostępna była wersja 1.4.2_05. Dlatego też sugerujemy skorzystanie z alterntywnej metody uaktualnienia JVM - czyli pobranie i zainstalowanie nowej wersji Javy z podanych poniżej lokalizacji.

Opis luki:

http://sunsolve.sun.com/search/document.do?assetkey=1-26-57591-1

Najnowsze wersje JRE można pobrać ze stron:

5.0 - http://java.sun.com/j2se/1.5.0/download.jsp

1.4.2 - http://java.sun.com/j2se/1.4.2/download.html

1.3.1 - http://java.sun.com/j2se/1.3/download.html


Zobacz również