Исследователи: серьезный недостаток в Java Runtime Environment для настольных компьютеров, серверов

Охотники за уязвимостями Java из польской исследовательской фирмы Security Explorations заявляют, что обнаружили новую уязвимость, которая влияет на последние версии настольных и серверных версий Java Runtime Environment (JRE).

Уязвимость находится в компоненте API Reflection Java и может использоваться для полного обхода изолированной программной среды Java и выполнения произвольного кода на компьютерах. Адам Гоудяк, генеральный директор Security Explorations, заявил в понедельник в электронное письмо, отправленное в список рассылки Full Disclosure. Недостаток затрагивает все версии Java 7, включая Java 7 Update 21, выпущенную Oracle в прошлый вторник, и новый пакет сервера JRE, выпущенный в то же время, сказал он.

Как следует из названия, сервер JRE - это версия среды Java Runtime, предназначенной для развертывания сервера Java. Согласно Oracle, сервер JRE не содержит подключаемый модуль Java-браузера, частую цель для веб-эксплойтов, компонента автоматического обновления или установщика, найденного в обычном пакете JRE.

[Дополнительная информация: Как для удаления вредоносных программ с вашего ПК с Windows]

Хотя Oracle знает, что уязвимости Java также могут быть использованы при развертывании серверов, предоставляя вредоносный ввод API-интерфейсов (интерфейсов прикладного программирования) в уязвимых компонентах, его сообщение, как правило, заключалось в том, что большинство Java уязвимости влияют только на подключаемый модуль браузера Java или что сценарии эксплуатации для ошибок Java на серверах невероятны, сказал во вторник Gowdiak по электронной почте.

«Мы пытались информировать пользователей о том, что претензии Oracle были неправильными в отношении воздействия Java SE », - сказал Говдяк. «Мы доказали, что ошибки, оцененные Oracle как влияющие только на подключаемый модуль Java, могут влиять и на серверы».

В феврале Security Explorations опубликовали эксплойт доказательной концепции для уязвимости Java, классифицированной как подключаемый модуль, основанный, который мог быть использован для атаки Java на серверах с использованием протокола RMI (удаленного вызова метода), сказал Gowdiak. Oracle обратился к вектору атаки RMI в обновлении Java на прошлой неделе, но существуют другие методы атаки на развертывания Java на серверах.

Исследователи по исследованиям в области безопасности не подтвердили успешную эксплуатацию новой уязвимости, обнаруженной ими на сервере JRE, но они перечисляли известные Java API и компоненты, которые можно было использовать для загрузки или выполнения ненадежного кода Java на серверах.

Если вектор атаки существует в одном из компонентов, упомянутых в Руководстве 3-8 «Руководства по безопасному кодированию» для Java Язык программирования «Java-серверы могут быть атакованы с помощью уязвимости, подобной той, что сообщалась в понедельник в Oracle, сказал Гоудяк.

Исследователь ошибся с тем, как API Reflection был реализован и проверен на предмет безопасности в Java 7, поскольку компонент до сих пор являлся источником многочисленных уязвимостей. «API Reflection не очень хорошо подходит для модели безопасности Java, и если ее использовать неправильно, это может легко привести к проблемам безопасности», - сказал он.

Этот новый недостаток является типичным примером слабости Reflection API, сказал Гоудяк. По его словам, эта уязвимость не должна присутствовать в коде Java 7 через год после того, как общая информация о безопасности, связанная с API Reflection, была отправлена ​​Oracle Oracle Security Explorations.