Błąd 0-day dla środowiska Java Runtime Environment (JRE) 1.7 (CVE-2012-4681)

W sieci Internet pojawiły się informacje na temat nowo odkrytego błędu (0-day) w środowisku Java Runtime Environment (JRE) 1.7 pozwalającego na wykonanie dowolnego kodu złośliwego który nie musi być w postaci apletu JAVA (może być zwykłym plikiem wykonywalnym).

Podatność polega na możliwości wywołania metody System.setSecurityManager(null) co w rzeczywistości daje możliwość zmiany uprawnień w kontekście których uruchomiony jest aplet java. Powyższa sytuacja jest możliwa dzięki podatności w klasach:

  • com.sun.beans.finder.MethodFinder
  • com.sun.beans.finder.ClassFinder 

które to dostępne są w środowisku Java od wersji 1.7.

Ciekawa analiza powyższego zagadnienia znajduje się pod adresami:

http://immunityproducts.blogspot.com.ar/2012/08/java-0day-analysis-cve-2012-4681.html

http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Ponadto w sieci dostępny jest exploit wykorzystujący powyższy błąd co zwiększa ryzyko niebezpieczeństwa.

Na chwilę obecną brak jest oficjalnej łatki producenta, jednakże w przypadku wykorzystywania środowiska Java Runtime Environment (JRE) 1.7 należy wyłączyć obsługę java przez przeglądarki. Szczegóły jak to zrobic przedstawia zespół US-CERT w swoim artykule: http://www.kb.cert.org/vuls/id/636312.

Aktualizacja:

Firma Oracle wydała poprawkę dotyczącą tej luki. Zespół CERT.GOV.PL zaleca użytkownikom i administratorom zapoznanie się z alertem bezpieczeństwa CVE-2012-4681 oraz stosowanie się do dostępnych porad w celu minimalizacji zagrożeń.

Ocena: 1/5 (2)
A
A+
A++
Drukuj
PDF