A Java SE 7 u11 igazoltan sebezhető

Java

Ahogy arról már korábban szó volt, jelentések szerint underground fórumokon Java 7 u11-hez használható exploit-ot árusítottak. Akkor még csak sejteni lehetett, hogy a frissen patchelt Java 7 u11 továbbra is sebezhető. Most viszont Adam Gowdiak a Security Explorations-től megerősítette a feltételezést a full-disclosure listán. Levele szerint a Java 7 u11 (JRE version 1.7.0_11-b21) alatt ki lehet törni a Java biztonsági sandbox-ból, valamint két új biztonsági sebezhetőséget is felfedeztek a Java SE 7 kódjában. A két sebezhetőség leírását - működő PoC kódok társaságában - eljuttatták az Oracle-höz.

A részletek itt.

( joco01 v | 2013. 01. 20., v – 09:58 )

Nagyon örülök, hogy Firefoxban most már kattintani kell, hogy egy-egy oldalon elinduljon-e a Java plugin (sajnos egy oldalon szükség van rá), mert van ismert biztonsági sebezhetősége. Miért nem ez a default mindig, minden pluginnál?

--

( Celtic v | 2013. 01. 20., v – 11:18 )

Na ne...Kezd elegem lenni :( Meg a vegen felhuzok Virtualboxban egy gepet, ahol csak es kizarolag a CIB fog menni, semmi mas. Ennel jobb otletem nincs.

--
http://www.micros~1

Bár én nem ennél a banknál vagyok, de van egy külön böngészőprofilom csak bankolásra. Az a profil úgy van beállítva, hogy nem ment el semmit, ez talán segíthet kicsit. Mondjuk ha a plugin vérzik, akkor nem tudom, hogy mennyire használható megoldás ez.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

( s3r3nity | 2013. 01. 20., v – 11:27 )

Arról van hír mikor lesz belőle "stable", végfelhasználóknak szánt verzió?

--
“Bármely bolond tud kritizálni, elítélni és panaszkodni – és a legtöbb bolond meg is teszi.” (Dale Carnegie)

Java SE FAQ első két pontja:

http://java.com/en/java7faq/

Összefoglalva:

Általános célra használható, 2012. áprilisa óta ez a default letölthető Java SE az Oracle.com-on.

https://blogs.oracle.com/henrik/entry/moving_to_java_7_as

Ráadásul a Java 6 EOL 2013. február, úgyhogy nagyon sok választásod nincs.

http://www.oracle.com/technetwork/java/javase/eol-135779.html

--
trey @ gépház

( Dwokfur v | 2013. 01. 20., v – 17:49 )

Az ilyen virtuális gép alapú dolgokra kifejezetten érdemes exploitot fejleszteni. Ha ügyes a kód, akkor egyből eszközök billiói sebezhetők.
Ráadásul a virtuális gépet nem is lehet lekorlátozni úgy, mint egy lefordított binárist. Mert csomó mindenhez jogot kell neki adni.
Egyszerű hordozhatóság, vagy biztonság? Biztonság.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

+1 Ez a probléma előjön minden egyes alkalmazásnál, ami adatokkal dolgozik (nem csekkelünk
valamit, gaz hacker kihasználja, már dolgozik is a futó alkalmazás jogosultságával). Ugyanez
történik a jvm-mel, ugyanez történik tetszőleges más alkalmazással is, a védekezés ez ellen
az, hogy az alkalmazásokat, melyek az internetről szednek adatot, virtualizált eldobható
környezetben futtatjuk, és reménykedünk, hogy ebből aztán nem fognak tudni kitörni.

Értem hogy technológiailag nagyon más a java-féle sandbox. Itt most a bizalomról van szó. A chrome nem bízik a saját js motorjában, ezért beépített egy plusz védelmi réteget, amit szintén sikerült megtörni, de akkor is egy plusz védelmi réteg. A java is simán kiérdemelte hogy sandbox létére sandbox-ba küldjük.

Nekem az a bajom, hogy kismillió féle egyéb plugin van, quicktime, unity3d, stb. amikkel ugyanezek a gondok előjöhetnek. Ez ellen nem az lenne a
legjobb védekezés, ha valami temporary jellegű felhasználó nevében futna a böngésző, aminek aztán végképp semmi joga nincs, csak egy virtuális
gépben futna, aztán csókolom?

Lehet hogy megoldas lenne, viszont a kivitelezese nem trivialis. Minden mai oprendszer eseteben ugyanis a felhasznalovaltashoz eloszor fel kell lepni valami magasabb szintre, es onnan lehet valtani. Ez Unix-kompatibilis operacios rendszereken pl. azt jelentene, hogy SUID binarist kell telepiteni. Nem a legszerencsesebb megoldas.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Itt a bizalomrol van szo. A bongeszo (esetunkben ugye a Chrome) nem bizik meg a pluginekben (sot, a sajat JS motorjaban sem), es _mindent_ sandboxban futtat. A Java-t viszont nem lehet sandbox-ban futtatni, mert o egy ilyen kenyes allatfajta. Viszont most fennforog az az eset, hogy a Java sandboxa nem er egy hajitofat sem - de nem is lehet egy plusz, mindentol fuggetlen vedelmet kore rakni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Nagyon sok disztróban úgy fut(hat). Karban tartanak neki egy MAC profilt. Például ubuntu alatt firefox-nak. Nem tudom az mennyire használható, még nem próbáltam.

Chrome-nál viszont úgy gondolom, mivel ott úgyis van sandbox, (ami vagy ér valamit vagy nem), elég lenne csak a java-nak a bezárására koncentrálni.

A hibákat nyilván javítják a java-ban is, csak az Oracle ügyesen megörökölt egy nagy kódbázist, amit most villámgyorsan át kell nézetnie
security szakemberekkel, ami időbe telik. Addig sajnos jönni fognak a hack-ek, és ezeket nem igazán tudja az Oracle kivédeni (amíg nem
nézték át a kódokat, nem tudnak javítást adni valamire, amit eddig még nem néztek át :)) Tehát ezt a böngésző/kliens oldaláról kell kivédeni:
tiltani a java plugin-t a böngészőben, amit általános internet böngészésre használunk, létrehozni egy plugin whitelist-et, hogy csak adott
oldaloknál engedélyezzük a pluginek futtatását, rendszergazdaként proxy-val szűrni minden .class és .jar-hoz történő URL kérést, és egyedileg
engedélyezni a felhasználóknak, ha kérik, stb.

( zoyo | 2013. 01. 20., v – 23:02 )

A BKK mai közleménye szerint "Elromlott egy Alstom-próbajárat": "feltehetően szoftveres problémáról van szó". Csak nem ebben is java van? :-)