Újabb Java 0day sebezhetőséget használnak ki aktívan

Java

A hírek szerint egy új 0day Java sebezhetőséget használnak ki aktívan az interneten. A legfrissebb Java verzió - Java 7 Update 10 - érintett. Bölcs dolog a Java plugin böngészőben való letiltása:

Opera böngészőben a plugin-kezelő az "about:plugins" címsávba írásával érhető el. A H Security szerint IE alatt a Java plugin deaktiválása nem egyszerű/egyértelmű feladat, így a legjobb megoldás a Java teljes eltávolítása a Vezérlőpult -> Programok telepítése és törlése menüpont alatt. A Java plugin működőképessége a H Security tesztoldalán ellenőrizhető. Részletek itt.

( uid_4263 v | 2013. 01. 10., cs – 22:04 )

"A H Security szerint IE alatt a Java plugin deaktiválása nem egyszerű/egyértelmű feladat, így a legjobb megoldás a Java teljes eltávolítása a Vezérlőpult -> Programok telepítése és törlése menüpont alatt."

Oké.

--
http://neurogadget.com/

( M0Rph3U5 | 2013. 01. 10., cs – 22:09 )

...és az államkincstár webes pénzügyi és nyilvátartó felületei java-ban íródtak! :)

---== ::: M 0 R p h 3 U 5 ::: ==---
http://kockablog.eu/

Nem, nem az. Az volt kb. 10 éve (akkor kétszer meg is nyerte a saját maga alapította legjobb internet bank díjat :\), de azóta semmit nem változott. Az megvan, hogy van már olyan magyar bank, ahol pl. AJAX-os felületen kapsz olyan kimutatást a számládról, hogy mennyit költöttél kajára / tankolásra / stb. (a bank elemzi a kártyás fizetéseidet, a kp. felvételnél meg beállíthatod, hogy mire költötted)?

De ez már rettentően off-topic.

( taxy | 2013. 01. 10., cs – 22:45 )

Megnéztem, már rég le van tiltva. Szerencsére észre sem vettem a hiányát. :)

Extrém esetben meg megy virtualbox-ba.

( uid_4263 v | 2013. 01. 11., p – 07:47 )

Azt vegyuk mar eszre hogy ezeket a java sebezhetosegeket csak untrusted appok tudjak kihasznalni. Tehat csinalnak egy weblapot amibe berakjak a ploitot, ami meg lefut ha van java plugined es sebezheto verziod van. Az olyan akar applet akar szerver oldali appokat nem erinti (hasznalatuk ebbol a szempontbol nem veszelyes) mint a cib netbank, vagy barmi "normalis" alkalmazas.
--
zsebHUP-ot használok!

"Azt vegyuk mar eszre hogy ezeket a java sebezhetosegeket csak untrusted appok tudjak kihasznalni."

Már jó ideje disabled, de emlékeim szerint a Java mikulás nem kérdezte, hogy hagyom-e futni...
Tehát rámész egy rosszindulatú-hackelt oldalra és máris fertőzött a géped.
Az pont nem nyugtat meg, hogy a CIB internetbankja nem fertőződik meg ettől, ha a gépemen futó keylogger már tud rólam mindent...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Nem az a probléma, hogy a CIB feltöri a gépemet, hanem az, hogy rákényszeríti az ügyfeleit, hogy sebezhető böngészőt használjanak, hiszen a java plugint a netbank miatt nem tudod leszedni. Emellett a funkcionalitás kb. 70%-kát már megvalósították a mobilbankban sima html felett, ami gyorsabb, tisztább, szárazabb érzés, csak ugye vannak dolgok, amik hiányoznak belőle + user agent alapján ki vannak tiltva az asztali böngészők, amit semmilyen módon nem tudok megmagyarázni.

Nem az a probléma, hogy a CIB feltöri a gépemet, hanem az, hogy rákényszeríti az ügyfeleit, hogy sebezhető böngészőt használjanak, hiszen a java plugint a netbank miatt nem tudod leszedni.

A java plugin használatára egyetlen oldal, egyetlen session erejéig kényszerítenek rá. (Mely munkamenet alatt mellesleg szembeötlően nem köteleznek a böngésződ egyidejű teleszemetelésére, például ötmillió másik tab nyitva tartásával.)

Mind a java plugin, mind a flash plugin hagyományosan, évek óta tele van lyukkal; botorság megbízni bármelyikben is, csak mert nincs a web teletrombitálva az éppen aktuális sebezhetőséggel. Default-ból egyiket sem használja az ember; arra az időre és ahhoz az oldalhoz kattintja be (vagy telepíti fel, vagy vált uid-ot), amelyhez kell és amelyben megbízik.

"Default-ból egyiket sem használja az ember; arra az időre és ahhoz az oldalhoz kattintja be (vagy telepíti fel, vagy vált uid-ot), amelyhez kell és amelyben megbízik."

Te melyik emberről beszélsz? Én úgy tudom hogy az emberek többségénél a flash alapból ott van, a java pedig vagy ott van, vagy rákérdez a böngésző hogy futtatja-e. Az átlagfelhasználó nem fog ki-be kapcsolgatni akármit, még egy flashblock addont se fog felrakni, hogy kézzel indítsa a plugineket.

Ezért is, és azért, hogy ne vegyen fel annyi áramot a gépem, gyors legyen, memóriám is maradjon - letiltott pluginokkal használom az Operámat.

Amikor véletlenül kell valami, akkor elindítok egy Firefoxot és gyorsan le is csukom....
Mint a közértben, újságot néz, mást nem vesz, csak ami be van karikázva ;) /* ;( */

---
Repeat after me: I Will Use Google Before Asking Stupid Questions...

( deje | 2013. 01. 11., p – 10:36 )

Ha jól látom, OpenJDK+IcedTea nem érintett... persze erről egyik cikk sem szól. De azért tiltsd le.
Gratula. Felelős újságírás.

( mrev | 2013. 01. 11., p – 10:56 )

Nem letiltani kéne az appleteket, hanem olyan opció kéne, ami csak hitelesített ssl kapcsolaton keresztül letöltött appletet enged elindulni. Lehet, hogy van ilyen, csak nem tudok róla. A CIB helyében az appletről áttérnék a Java Webstartra, ott sokkal jobban kezelhetők ezek a dolgok, kevésbé érdekesek a bőngésző hibái.
--
ulysses.co.hu

"A CIB helyében az appletről áttérnék a Java Webstartra"

Semmi nem indokolja, hogy akármilyen külső plugin szükséges legyen egy netbank felülethez, eleve nem értem miért kell külön plugin hozzá? Nehezebb legyen használni mobilon, vagy látássérülteket segítő böngészővel?

Úgy értem, ha már Java, akkor inkább webstart. Amúgy a webstart nem plugin, független a böngészőtől, és akár böngésző nélkül is lehet használni. Az egy érdekes kérdés volna, hogy a "külső plugin" nélküli böngésző, vagy a böngésző nélküli Jáva a biztonságosabb. Inkább az utóbbi.
--
ulysses.co.hu

Nem igazán értem. Bárki felrakhat egy szervert amin fut https, és a certificate teljesen hiteles, aláírt. De azt is lehet, hogy
saját maga aláírja, a felhasználó nem foglalkozik vele.

Én a dolgot úgy fognám meg, hogy lenne egy whitelist, és csak onnan engedném az applet-eket futtatni, máshonnan nem. Ezt azért
nem lenne olyan nehéz megcsinálni...

ééés, van is ilyen:

http://forums.mozillazine.org/viewtopic.php?f=12&t=2467109

Amit rendszerüzemeltetőként megtehet az ember: a proxy-t úgy állítja be, hogy .class-ra és .jar-ra történő GET-eket visszautasítsa,
és csak egyedi kérelemre engedélyezi...

Oké, elbeszélünk egymás mellett.

Mi a következő betörésről beszélünk:

- bigtitslesbians.com-ra (és basszus tényleg van ilyen) valaki felrak egy java applet-et
- az örömökre vágyó delikvens böngészője betölti az oldalt, benne a 1x1 méretű iframe-mel, amiben az applet van, mely képes áttörni az sandbox-on
- az applet elindít egy trójai programot, ami betelepül a felhasználó gépére, a felhasználó tudta és beleegyezése nélkül
- innentől kezdve a trójai azt csinál, amit nem szégyel, pl. loggolhatja a billentyű leütéseket, stb.

Az egész probléma tök független attól, hogy te certification-nel aláirod az oldalt, vagy sem.

Te ezt írtad: "ami csak hitelesített ssl kapcsolaton keresztül letöltött appletet enged elindulni"

de a gond nem az, hogy a CIB oldalról kapsz egy vírust, mert onnan esélyesen nem fogsz, hanem az, hogy tetszőleges oldalról sebezhető vagy, viszont a CIB miatt nem kapcsolhatod ki a java applet-et, vagy ideiglenesen be-ki kapcsolod, de benne van, hogy pont akkor felejted véletlen bekapcsolva, amikor nem kéne.

Ez ellen védekezni böngésző szinten úgy lehetne, hogy csak adott whitelist-ről engedne applet-et letölteni, amit te adsz meg kézzel. Ennyi.

"Ez ellen védekezni böngésző szinten úgy lehetne, hogy csak adott whitelist-ről engedne applet-et letölteni, amit te adsz meg kézzel."

Ez így van, és meg is van hozzá minden: A böngésző beállítható, hogy csak olyan szerverrel létesítsen ssl kapcsolatot, amely szerver privát kulcsához tartozó tanusítvány (nyilvános kulcs) installálva van a böngészőben. A tanusítványokat egyenként, tetszés szerint installálhatom, uninstallálhatom. Ez a whitelist. Azokat teszem bele, akikben bízok. Ha még azt is meg tudnám oldani, hogy csak hitelesített ssl kapcsolaton keresztül töltődjön le applet, akkor biztonságban volnék.

Mindezt egyáltalán nem azért írom, mintha az appletek híve volnék, a CIB is jobban tenné, ha áttérne a webstartra.
--
ulysses.co.hu

Ha meg volna oldva, hogy a böngésző csak hitelesített ssl kapcsolaton át letöltött (vagy hitelesen aláírt) appleteket indítson el ...

1) Az előbb leírtam, hogy a keystore gyomlálásával 100% kontroll volna gyakorolható afölött, hogy milyen appletek jöhetnek.

2) Ha meghagyom a böngészővel installálódó default keystore-t (benne verysign, stb.), akkor is volna egy elég hatásos indirekt védelem: Mivel a tanusítványok hamisítása baromi nehéz, azért a betörő kénytelen a saját, valódi tanusítványával jönni. Ez olyan, mintha a (lakás)betörő minden helyszínen otthagyná a lakcímkártyáját. Hamarosan megjelenik nála a hatóság.

A webstart is ezt csinálja: Csak hitelesen aláírt jar fájlokat indít el.

--
ulysses.co.hu

Nincs. A valódi CA-k úgy működnek, mint egy hatóság. Törvény szabályozza a működésüket. Elő van írva, hogy hány méter vastag betonfallal kell védeni a szervertermet meg effélék. Nem adhatnak ki kamu tanusítványokat. Úgyanúgy, ahogy valódi személyazonosság nélkül sem egyszerű lakcímkártyát szerezni. Másképp hogy lehetne digitális aláírást használni közigazgatásban, üzleti életben?
--
ulysses.co.hu

Szerk: A lakcímkártya is jó, de még jobb példa az aláírási címpéldány. Amikor a CA tanusítványt készít, akkor tök ugyanazt csinálja, mint egy közjegyző, aki aláírási címpéldányt készít. A közjegyző előtt az embernek igazolnia kell magát, majd a szeme előtt aláírni.

Én meg odamegyek egy hajléktalanhoz, adok neki egy garnitúra új ruhát meg 10k forintot, aztán szépen kézenfogva bevezetem egy ilyen helyre, hogy ugyan legyen már kedves aláírni azt a papírost.
Az illetékes nyilván kiszúrja, hogy mi a helyzet, de szerintem akkor sem tud tenni ellene semmit.

Trükkök mindig lesznek. Ha viszont a böngésző csak hitelesített appletet indít el, akkor dönthetsz róla, hogy milyen trükközésnek teszed ki magad. Akár whitelistázol, akár megbízol a CA-kban, akár saját magad osztod a tanusítványokat a döntő momentum a hitelesítés. Innen indultunk.
--
ulysses.co.hu

Nem trükk kérdése. A tanúsítvány kiadók cert-osztálytól függően sokszor csak azt ellenőrzik, hogy tied-e a domain. Anonim domaint tudsz regisztrálni az interneten bármiféle okirat nélkül, a domain postmaster@ vagy dnsadmin@ címre küldött ellenőrző leveleket ezek után megkapod és onnantól a domain tulajdonosának tekintenek, tehát kiállítanak tanúsítványt számodra mindenféle személyi okmány, vagy hivatalos irat ellenőrzése nélkül...

Én egy rakás domainre (amelyek nem az enyémek) szereztem már úgy hiteles SSL tanúsítványt, hogy nem adtam meg a személyes adataimat. Ha én meg tudtam csinálni számtalanszor, akkor egy profi támadónak erre akár már automatizált megoldása is lehet.

Nemcsak. Szó volt például tanúsítványok egyenkénti installálásáról.

Most azon a mellékszálon vagyunk, hogy a hitelesítés önmagában (anélkül, hogy tudnák ki az, aki hiteles) jelent-e bármilyen védelmet. Én azt mondtam, hogy jelent, mert a támadó csak a tanúsítványát bemutatva tud támadni, ami alapján utólag elkapható. Te azt mondod, hogy nem, mert a tanúsítvány, bár nem hamisítható, nem feltétlenül valóságos subjectnek van kiállítva. Én mégis azt mondom, hogy valamennyi védelem mégis csak van, mert ha csak egy emailben kiküldött tanúsítványt nézünk, amögött is van valami. Az után is marad annyi nyom (a CA nyilvántartásában, hova ment az email, ki tudta azt átvenni), ami alapján a rendőrség elindul. Feltéve, hogy az ügy fontossá válik: túl nagy összegű a lopás, terrorizmus van benne vagy ilyesmi. Szóval hitelesítés.
--
ulysses.co.hu

Én azt nem értem, hogy ha ilyen szar a CIB (nem először jön elő errefelé) akkor mi a bánatért nem váltanak az emberek?
(Mondjuk akkor OTP már rég nem lenne...)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

( dash | 2013. 01. 11., p – 14:19 )

ln -s /usr/lib/jvm/j2re1.6-oracle/lib/amd64/libnpjp2.so .mozilla/plugins/

( KAMI911 v | 2013. 01. 11., p – 14:22 )

Esetleg olyat is lehet, hogy az about:permissions oldalon a „minden webhely”-né a bővítményeket „mindig kérdezzen rá”-ra állítod. Ezen kívül oldalanként tudod állítani a bővítményekkel kapcsolatos policyt.

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

( secretx v | 2013. 01. 11., p – 22:17 )

troool:

java everyday?
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( dap | 2013. 01. 12., szo – 09:35 )

Firefox alatt én eleve kikapcsolt javaval és flashblockkal járok az internetre és van egy profil amiben be van kapcsolva ha mégis kell. A profilokat nem is volt olyan egyszerű rugalmasan használni mint gondoltam, én a következő kis scripttel könnyítettem meg: 


#!/bin/bash

P=$1
if [ -z "$1" ]; then
        echo "$0 {profile_name} [url]"
        exit 1
fi
if [ -n "$2" ]; then
        URL="$2"
fi
if firefox -P $P -remote "ping()"; then
        [ -z "$URL" ] && URL=about:blank
        # https://bugzilla.mozilla.org/show_bug.cgi?id=478951
        unset DESKTOP_STARTUP_ID
        firefox -P $P -remote "openurl($URL)"
else
        firefox -P $P -new-instance "$URL"
fi

"Fordított logikával meg halottnak a csók"
Biztonsági szempontból igen, de épp most került elő egy másik fórumon, hogy kényelmi szempontból hasznos. :)

Szerk:
Megvan a tökéletes megoldás:
https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbf…

Ebben van olyan opció, hogy "Respect Same-Domain".
Így a saját domain-ről származó akármiket nem bántja. Élvezhető marad a böngészés, de egy oldal nem tud behivatkozni akárhonnan akármit. Még külön adblock is van benne. Minden egyben. Nagyon tetszik.

az megvan, hogy nagyon sokan más domainről töltik be a fontos scripteket (pl jquery, ilyen olyan keretrendszereket külön erre a célra létrehozott tárolókból, nem saját példányból)

Szerintem akkor inkább higgye azt a weblap hogy nincs js támogatás, és a jobbak lekezelik, mintsem azt lássa hogy van támogatás, csak a scriptek fele hiányzik, és emiatt összedől a ház

Igen, ez felhasználás függő. Előfordul ilyen, talán a tökéletes jelző túlzás, de hát valamit valamiért. Ezeket kézzel kell felvenni.
Sajnos az a tapasztalatom hogy a teljes tiltás ma már nem okoz kevesebb problémát mint a részleges. A keretrendszerek viszont ismertek, és pozitív listázás esetén pont úgy lehet őket gyűjteni, mint negatívnál a hirdető oldalakat.

Még nem teljesen bejáratott a módszer, idő kell amíg rájövök a buktatóira. Most találtam csak.

Ez szerintem úgy lenne használható, ha minden domain-hez külön whitelist lenne(ahol domain alatt azt a webcímet értem amit éppen meglátogatok). A domain whitelist-jén saját maga default rajta lenne, de le lehetne tiltani, vagy rákérdezne a domain első látogatásakor. Valamint lenne egy global whitelist, ami minden domain-en engedélyez.(pl. youtube beágyazáshoz, és hasonlók)

Vagyis összefoglalva, minden domain defualt használhassa a saját js-eit, de más domain-ről csak külön engedéllyel.