English

SE-2012-01 Biuletyn prasowy

02 Kwietnia 2012, Poznań, Polska

Security Explorations, polska firma prowadząca zaawansowane badania z zakresu bezpieczeństwa oprogramowania i sprzętu, odkryła wiele krytycznych błędów bezpieczeństwa w najnowszej wersji oprogramowaniu Java Platform Standard Edition (Java SE) [1] firmy Oracle [2].

Odkryte słabości pogwałcają wiele z reguł tworzenia bezpiecznego kodu w języku programowania Java [3]. Większość z nich demonstruje specyficzny problem związany z bezpieczeństwem środowiska Java SE. Pośród 19 zidentyfikowanych błędów znajdują się takie które umożliwiają obejście określonych mechanizmów bezpieczeństwa, jak i ułatwiające proces eksploatacji pewnych typów słabości.

Security Explorations opracowało stabilne programy testujące w celu ilustracji wszystkich odkrytych błędów. W skład nich wchodzi 12 programów demonstrujących całkowite przełamanie bezpieczeństwa środowiska Java.

Złośliwy aplet lub aplikacja wykorzystująca najgroźniejsze z odkrytych błędów może działać bez żadnych ograniczeń w kontekście docelowego procesu maszyny wirtualnej Java, takiego jak przeglądarka internetowa. Security Explorations zweryfikowało, że w rezultacie udanego ataku, możliwe jest m.in. tworzenie plików czy też uruchamianie programów w środowisku podatnej platformy Java SE.

Nastepujące wersje oprogramowania Java SE zostały zweryfikowane jako podatne na wszystkie z 19 odkrytych błędów:

  • JRE/JDK 7 (version 1.7.0-b147)
  • JRE/JDK 7u1 (version 1.7.0_01-b08)
  • JRE/JDK 7u2 (version 1.7.0_02-b13)
  • JRE/JDK 7u3 (version 1.7.0_03-b05)
  • JRE/JDK 7u4 (version 1.7.0_04-ea-b18, wersja wczesnego dostępu z 29 Mar 2012)

2 kwietnia 2012, Security Explorations przesłało firmie Oracle raport techniczny zawierający szczegółowe informacje o odkrytych słabościach. Wraz z nim, firma otrzymała również wersje źródłowe i binarne 14 programów testujących, które ilustrują wszystkie zidentyfikowane słabości oraz wektory ataków.

Referencje:

  1. [1] Java Platform, Standard Edition (http://www.oracle.com/us/technologies/java/standard-edition/overview/index.html)
  2. [2] Oracle Corporation (http://www.oracle.com)
  3. [3] Secure Coding Guidelines for the Java Programming Language, Version 4.0 (http://www.oracle.com/technetwork/java/seccodeguide-139067.html)


Copyright 2008-2018 Security Explorations. All Rights Reserved.