patch java win 7
Οι ερευνητές της ασφάλειας από την εταιρεία ασφαλείας της Πολωνίας, Security Explorations ισχυρίζονται ότι έχουν ανακαλύψει μια ευπάθεια στην ενημερωμένη έκδοση ασφάλειας Java 7 που κυκλοφόρησε την Πέμπτη και που μπορεί να εκμεταλλευτεί για να ξεφύγει από το sandbox Java και να εκτελέσει αυθαίρετο κώδικα για το υποκείμενο σύστημα
Η Security Explorations έστειλε έκθεση σχετικά με την ευπάθεια στην Oracle την Παρασκευή μαζί με την εκμετάλλευση απόδειξης ιδεών, ο Adam Gowdiak, ιδρυτής και διευθύνων σύμβουλος της εταιρείας ασφάλειας, δήλωσε την Παρασκευή μέσω ηλεκτρονικού ταχυδρομείου. δεν σχεδιάζει να δημοσιοποιήσει τις τεχνικές λεπτομέρειες σχετικά με την ευπάθεια δημοσίως μέχρι να το αντιμετωπίσει η Oracle, δήλωσε ο Gowdiak.
[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από ο υπολογιστής Windows]
Η Oracle ξέσπασε από τον τακτικό τετραμηνιαίο κύκλο επιδιόρθωσης την Πέμπτη για να κυκλοφορήσει το Java 7 Update 7, μια επείγουσα ενημερωμένη έκδοση ασφαλείας που αντιμετώπισε τρία σημεία ευπάθειας, συμπεριλαμβανομένων δύο που εκμεταλλεύτηκαν οι εισβολείς για να μολύνουν υπολογιστές με κακόβουλο λογισμικό την προηγούμενη εβδομάδαΗ ενημερωμένη έκδοση 7 της Java 7 έσπασε επίσης ένα "ζήτημα ασφαλείας σε βάθος" το οποίο, σύμφωνα με την Oracle, δεν ήταν άμεσα εκμεταλλεύσιμο, αλλά θα μπορούσε να χρησιμοποιηθεί για να επιδεινώσει τις επιπτώσεις άλλων τρωτών σημείων. από αυτό το "ζήτημα ασφάλειας σε βάθος", το οποίο ο Gowdiak ονομάζει "φορέα εκμετάλλευσης", κατέστησε όλη την παράκαμψη ασφάλειας της Java Virtual Machine (JVM) της απόδειξης της ιδέας (PoC) που εκμεταλλεύεται προηγουμένως η πολωνική εταιρεία ασφάλειας στην Oracle
Σύμφωνα με τον Gowdiak, οι Security Explorations ανέφεραν ιδιωτικά 29 ευπάθειες στην Java 7 στην Oracle τον Απρίλιο, συμπεριλαμβανομένων των δύο που τώρα εκμεταλλεύονται ενεργά οι εισβολείς.
Οι εκθέσεις συνοδεύονταν από συνολικά 16 αποδείξεις, of-conce pt
Η κατάργηση των μεθόδων getField και getMethod από την υλοποίηση της κλάσης sun.awt.SunToolkit στην Java 7 Update 7 απενεργοποίησε όλες τις δυνατότητές τους για να παρακάμψουν πλήρως το sandbox Java και να εκτελέσουν αυθαίρετο κώδικα στο υποκείμενο σύστημα. του Gowdiak, δήλωσε ο Gowdiak
Ωστόσο, αυτό συνέβη μόνο επειδή ο "φορέας εκμετάλλευσης" απομακρύνθηκε, όχι επειδή όλα τα τρωτά σημεία που επιδιώχθηκαν από τα εκμεταλλεύματα είχαν διορθωθεί, ανέφερε ο Gowdiak. Οι εξερευνήσεις στο Java 7 Update 7 μπορούν να συνδυαστούν με ορισμένες από τις αδυναμίες που έχει παραλειφθεί από την Oracle, για να επιτευχθεί πλήρης παράκαμψη του sandbox του JVM.
"Μόλις διαπιστώσουμε ότι οι πλήρεις κώδικες παράκαμψης του sandbox Java σταμάτησαν να λειτουργούν μετά την εφαρμογή της ενημέρωσης, εξέτασε και πάλι τους κώδικες POC και άρχισε να σκεφτόμαστε τους πιθανούς τρόπους για να σπάσουμε πλήρως την τελευταία ενημερωμένη έκδοση Java ", ανέφερε ο Gowdiak. "Μια νέα ιδέα ήρθε, επαληθεύτηκε και αποδείχθηκε ότι αυτό ήταν αυτό."
Η Gowdiak δεν γνωρίζει πότε η Oracle σχεδιάζει να αντιμετωπίσει τις υπόλοιπες ευπάθειες που αναφέρθηκαν από τις Εξερεύνηση Ασφαλείας τον Απρίλιο ή την νέα που υπέβαλε η εταιρεία ασφάλειας την Παρασκευή
Δεν είναι σαφές εάν η Oracle θα κυκλοφορήσει μια νέα ενημερωμένη έκδοση ασφάλειας Java τον Οκτώβριο όπως είχε προγραμματιστεί προηγουμένως. Η εταιρεία δεν επιστρέφει αμέσως αίτημα για σχόλιο
Οι ερευνητές της ασφάλειας πάντα προειδοποίησαν ότι εάν οι πωλητές χρειάζονται πολύ χρόνο για να αντιμετωπίσουν μια αναφερθείσα ευπάθεια, μπορεί να ανακαλυφθούν από τους κακούς εν τω μεταξύ, αν δεν γνωρίζουν ήδη Σχετικά με αυτό.
Συνέβη σε πολλές περιπτώσεις οι διαφορετικοί κυνηγοί bug να ανακαλύψουν την ίδια ευπάθεια στο ίδιο προϊόν ανεξάρτητα και αυτό θα μπορούσε να συμβεί και στην περίπτωση των δύο τρωτών σημείων Java που εκμεταλλεύτηκαν ενεργά και τα οποία αντιμετώπισε η Java 7 Update 7.
"Οι ανεξάρτητες ανακαλύψεις δεν μπορούν ποτέ να αποκλειστούν", ανέφερε ο Gowdiak. "Αυτό το συγκεκριμένο ζήτημα [η νέα ευπάθεια] μπορεί να είναι λίγο πιο δύσκολο να βρεθεί."
Με βάση την εμπειρία των ερευνητών ασφαλείας που έχουν εντοπίσει τρωτά Java μέχρι στιγμής, η Java 6 έχει καλύτερη ασφάλεια από την Java 7. "Η Java 7 ήταν πολύ πιο εύκολη για να σπάσουμε", ανέφερε ο Gowdiak. "Για την Java 6, δεν καταφέραμε να επιτύχουμε έναν πλήρη συμβιβασμό με το sandbox, εκτός από το θέμα που ανακαλύφθηκε στο λογισμικό Apple Quicktime για Java".
Το Gowdiak επανέλαβε ότι έχουν πει πολλοί ερευνητές ασφαλείας: Αν δεν χρειάζεστε Java, απεγκαταστήστε το από το σύστημά σας.
Οι ερευνητές βρίσκουν κρίσιμη ευπάθεια στην Java 7 Ώρες Patch μετά την απελευθέρωση
Οι ερευνητές ασφάλειας από την εταιρεία ασφαλείας της Πολωνίας Security Explorations ισχυρίζονται ότι έχουν ανακαλύψει ευπάθεια στην ενημερωμένη έκδοση ασφαλείας της Java 7.
Η νέα ευπάθεια επιτρέπει την πλήρη διαφυγή του Java Virtual Machine σε Java 7 Update Οι ερευνητές της ασφάλειας από την εταιρεία ασφαλείας της Πολωνίας, Security Explorations, ισχυρίζονται ότι έχουν ανακαλύψει μια ευπάθεια στην ενημερωμένη έκδοση ασφαλείας Java 7 που κυκλοφόρησε την Πέμπτη, η οποία μπορεί να εκμεταλλευτεί για να ξεφύγει από το sandbox Java και να εκτελέσει αυθαίρετο κώδικα
Η Security Explorations απέστειλε έκθεση σχετικά με την ευπάθεια στην Oracle την Παρασκευή μαζί με την εκμετάλλευση απόδειξης ιδεών, ο Adam Gowdiak, ιδρυτής και διευθύνων σύμβουλος της εταιρείας ασφάλειας, δήλωσε την Παρασκευή μέσω ηλεκτρονικού ταχυδρομείου. σχεδιάζει να δημοσιοποιήσει οποιεσδήποτε τεχνικές λεπτομέρειες σχετικά με την ευπάθεια, μέχρι να το αντιμετωπίσει η Oracle, δήλωσε ο Gowdiak.
