Błąd 0-day dla środowiska Java Runtime

CERT.GOV.PL
Źródło:
http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/564,Blad-0-day-dla-srodowiska-Java-Runtime-Environment-JRE-17-CVE-20
12-4681.html
Wygenerowano: Środa, 8 marca 2017, 16:20
Błąd 0-day dla środowiska Java Runtime Environment (JRE) 1.7 (CVE-2012-4681)
W sieci Internet pojawiły się informacje na temat nowo odkrytego błędu (0-day) w środowisku Java Runtime Environment
(JRE) 1.7 pozwalającego na wykonanie dowolnego kodu złośliwego który nie musi być w postaci apletu JAVA (może być
zwykłym plikiem wykonywalnym).
Podatność polega na możliwości wywołania metody System.setSecurityManager(null) co w rzeczywistości daje możliwość
zmiany uprawnień w kontekście których uruchomiony jest aplet java. Powyższa sytuacja jest możliwa dzięki podatności w
klasach:
●
●
com.sun.beans.finder.MethodFinder
com.sun.beans.finder.ClassFinder
które to dostępne są w środowisku Java od wersji 1.7.
Ciekawa analiza powyższego zagadnienia znajduje się pod adresami:
http://immunityproducts.blogspot.com.ar/2012/08/java-0day-analysis-cve-2012-4681.html
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
Ponadto w sieci dostępny jest exploit wykorzystujący powyższy błąd co zwiększa ryzyko niebezpieczeństwa.
Na chwilę obecną brak jest oficjalnej łatki producenta, jednakże w przypadku wykorzystywania środowiska Java Runtime
Environment (JRE) 1.7 należy wyłączyć obsługę java przez przeglądarki. Szczegóły jak to zrobic przedstawia zespół US-CERT
w swoim artykule: http://www.kb.cert.org/vuls/id/636312.
Aktualizacja:
Firma Oracle wydała poprawkę dotyczącą tej luki. Zespół CERT.GOV.PL zaleca użytkownikom i administratorom zapoznanie
się z alertem bezpieczeństwa CVE-2012-4681 oraz stosowanie się do dostępnych porad w celu minimalizacji zagrożeń.
critical, JRE 7, Java Runtime Environment (JRE), Java 1.7, 0-day,
Java, exploit
Ocena: 1/5 (1)