Błąd 0-day dla środowiska Java Runtime
Transkrypt
Błąd 0-day dla środowiska Java Runtime
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/564,Blad-0-day-dla-srodowiska-Java-Runtime-Environment-JRE-17-CVE-20 12-4681.html Wygenerowano: Środa, 8 marca 2017, 16:20 Błąd 0-day dla środowiska Java Runtime Environment (JRE) 1.7 (CVE-2012-4681) W sieci Internet pojawiły się informacje na temat nowo odkrytego błędu (0-day) w środowisku Java Runtime Environment (JRE) 1.7 pozwalającego na wykonanie dowolnego kodu złośliwego który nie musi być w postaci apletu JAVA (może być zwykłym plikiem wykonywalnym). Podatność polega na możliwości wywołania metody System.setSecurityManager(null) co w rzeczywistości daje możliwość zmiany uprawnień w kontekście których uruchomiony jest aplet java. Powyższa sytuacja jest możliwa dzięki podatności w klasach: ● ● com.sun.beans.finder.MethodFinder com.sun.beans.finder.ClassFinder które to dostępne są w środowisku Java od wersji 1.7. Ciekawa analiza powyższego zagadnienia znajduje się pod adresami: http://immunityproducts.blogspot.com.ar/2012/08/java-0day-analysis-cve-2012-4681.html http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html Ponadto w sieci dostępny jest exploit wykorzystujący powyższy błąd co zwiększa ryzyko niebezpieczeństwa. Na chwilę obecną brak jest oficjalnej łatki producenta, jednakże w przypadku wykorzystywania środowiska Java Runtime Environment (JRE) 1.7 należy wyłączyć obsługę java przez przeglądarki. Szczegóły jak to zrobic przedstawia zespół US-CERT w swoim artykule: http://www.kb.cert.org/vuls/id/636312. Aktualizacja: Firma Oracle wydała poprawkę dotyczącą tej luki. Zespół CERT.GOV.PL zaleca użytkownikom i administratorom zapoznanie się z alertem bezpieczeństwa CVE-2012-4681 oraz stosowanie się do dostępnych porad w celu minimalizacji zagrożeń. critical, JRE 7, Java Runtime Environment (JRE), Java 1.7, 0-day, Java, exploit Ocena: 1/5 (1)