Poważny błąd w Javie - patcha na razie brak

Tavis Ormandy, ceniony specjalista ds. bezpieczeństwa (zatrudniony w koncernie Google) opublikował szczegółowy raport na temat poważnego błędu występującego w wirtualnej maszynie Java (JVM). Odpowiednio wykorzystana luka może zostać wykorzystana do uruchomienia w systemie złośliwego kodu i przejęcia kontroli nad maszyną.

Decyzja o opublikowaniu szczegółowych informacji na temat problemu może wydawać się niespecjalnie rozsądna - ale Ormandy tłumaczy, że znacznie wcześniej poinformował o problemie pracowników koncernu Oracle (który niedawno przejął firmę Sun Microsystems, odpowiedzialną za Javę) - a ci oświadczyli mu, że poprawki na razie nie będzie. "Ludzie z Oracle stwierdzili, że ta luka nie jest na tyle poważna, by z jej powodu mieli naruszać swój sztywny terminarz łatania [koncern udostępnia poprawki dla swoich produktów raz na kwartał - red.]. Moim zdaniem nie mają racji" - komentuje Tavis Ormandy.

Oracle na razie nie komentuje tych informacji. Warto jednak przypomnieć, że najnowszy pakiet poprawek firmy pojawił się zaledwie kilka dni temu - a to znaczy, że o ile koncern nie zmieni stanowiska w kwestii najnowszego błędu, to uaktualnienia dla Javy należy się spodziewać dopiero za trzy miesiące (czyli na początku lipca).

Z informacji udostępnionych przez Ormandy'ego wynika, że luka umożliwia nieautoryzowanemu użytkownikowi uruchamianie w zaatakowanym systemie dowolnych aplikacji napisanych w Javie. Jest to możliwe, ponieważ JVM umożliwia programistom tworzącym aplikacje w tym środowisku automatyczne instalowanie dodatkowych bibliotek - można więc stworzyć "złośliwą" bilbliotekę i bez problemów uruchomić ją w systemie.

Tavis Ormandy podkreśla, że błąd jest poważny i powinien zostać możliwie jak najszybciej poprawiony. Nie jest w tej opinii odosobniony - tego samego zdania jest m.in. Marc Maiffret, specjalista ds. bezpieczeństwa z firmy FireEye.

Sprawa jest o tyle poważna - i skomplikowana - iż problem znaleziony przez pracownika Google nie jest typową dziurą w zabezpieczeniach (będącą np. skutkiem błędu programistycznego). To raczej ogólny błąd projektowy popełniony przez autorów Virtual Machine - a to oznacza, że jego usunięcie będzie znacznie trudniejsze niż w przypadku klasycznych luk. Być może to właśnie dlatego Oracle nie spieszy się z łataniem.

Inna sprawa, że zagrożenie na razie nie wydaje się zbyt duże - ataki wykorzystujące luki w Javie były dość częste przed kilkoma laty, ale obecnie są rzadkością. Ostatnio przestępcy wolą wykorzystywać raczej błędy w innym popularnym oprogramowaniu - np. przeglądarkach internetowych (głównie Internet Explorerze oraz Firefoksie - bo to dwie najpopularniejsze aplikacje tego typu) czy aplikacjach w stylu (to wyjątkowo "wdzięczny" cel, bo w programie wciąż znajdowane są kolejne poważne luki).

Warto podkreślić, że problem dotyczy Javy dla Windows od wydania Java SE 6 u. 10. Ale eksperci nie wykluczają, że podatne mogą być również wydania na inne platformy - Symantec sugeruje, że problem dotyczy Linuksa.