Java - poważne luki w najnowszej wersji (7)

[ichito]

Nie tak dawno pojawiła się nowa wersja Javy (1.7), a już odkryto w niej poważne luki...dalej za Niebezpiecznikiem

Nie musisz korzystać z Javy? To ją wyłącz. To chyba najlepsza rada, która może ochronić cię przed grasującym własnie po internecie nowym atakiem dotykającym aktualne wersje Javy i działającym na praktycznie każdym systemie operacyjnym i każdej przeglądarce.
O atakach wykorzystujących nową, niezałataną jeszcze dziurę w Javie 1.7poinformował FireEye w niedzielny wieczór.
Zaobserwowane ataki prowadzą do instalacji trojana Poison Ivy RAT , który następnie łączy się z adresem hello.icon.pk [223.25.233.244] . Exploit działa jedynie na Jave w wersji 1.7 Update od 0 do 6 (czyli posiadacze starszej wersji akurat tego exploita nie muszą się obawiać — co nie znaczy, że są bezpieczni, a downgrade Javy na pewno nie jest tu polecanym rozwiązaniem ).
(...)
Exploit na Javę 1.7 działa na wielu systemach opracyjnych (od Windows 7 przez Linuksa do Win XP) i pod wieloma przeglądarkami (MSIE, Google Chrome, Firefox). Oznacza to, że w ciagu najbliższych dni ofiar ataku na Jave (ver. 1.7) może być coraz więcej, zwłaszcza, że już upubliczniono jego kod (także w Metasploicie) i zapewne za chwilę exploit pojawi się w większości tzw. exploit packów typu BlckHole. Pikanterii dodaje fakt, że Oracle najprawdopodobniej nie wyda patcha w ciągu najbliższych dni — zgodnie z planem następne łatki mają wydać dopiero w październiku (i praktycznie nigdy nie wychodzą z poprawkami out-of-cycle).

[Aby zobaczyć linki, zarejestruj się tutaj]

Po kolejnych odkryciach i aktualizacjach

Pisaliśmy niedawno o błędzie w Javie 7 na który jeszcze nie ma łatki. Ponieważ exploit został już upubliczniony, zgodnie z naszymi wcześniejszymi przypuszczeniami, w ciągu ostatnich 2 dni w sieci pojawiło się multum stron WWW, które “przy okazji” infekują złośliwym oprogramowaniem wszystkich internautów, którzy mają zainstalowaną Javę (dziura dotyczy zarówno Widnowsa jak i Linuksa oraz Mac OS X). Dlatego jeszcze raz przypominamy: odinstaluj Javę, albo chociaż wyłącz plugin Javy w przeglądarce.
(...)
W pojawiających się od dwóch dni analizach wyczytać można, że exploit na Javę (CVE-2012-4681) tak naprawdę korzysta nie z jednego, a z dwóch 0day’ów i najprawdopodobniej jest autorstwa Chińczyków — w kodzie znajdują się zwroty z chińskiej piosenki, które dodatkowo mogą wskazywać na powiązanie autorów exploita z grupą, która stała za atakami spear-phishing z lipca 2011, wymierzonym w 48 firm z sektora chemicznego.
0day już obecny w exploitpackach i zbiera niezłe żniwo

Autorzy exploit-packów, takich jak BlackHole już zaimportowali kod exploita i infekują nim internautów na kontrolowanych przez siebie stronach. Skuteczność ataku? 21% — to oznacza, że co piąta osoba odwiedzająca zainfekowaną stronę staje się częścią botnetu należącego do przestępców.
(...)
Z najnowszych szacunków, opartych o dane Secunii wynika, że 34% wśród badanych 10 000 komputerów posiada Javę 7 (56% ciągle korzysta z wersji 6). Jeśli wierzyć Oracle, która chwali się, że Java zainstalowana jest na 3 miliardach komputerów i założyć, że 10 000 próbka Secunii jest reprezentatywna, to na grasujące w tej chwili exploity podatnych jest ok. miliard internautów!

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ilustracja poniżej

This stats page, shared by researchers at Seculert, comes from a working BlackHole exploit panel. The success rate of this kit — 21 percent — is roughly double the normal rate thanks to the inclusion of this Java zero-day.

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak widać Polska wcale nieźle wygląda w tym zestawieniu

[Aby zobaczyć linki, zarejestruj się tutaj]

Najprościej odinstalować teraz Javę lub powyłączać pluginy w używanych przeglądarkach, ewentualnie zastosować dodatki typu NoScript, które blokują na stronach m.in. skrypty Javy...i nawet powstała strona, gdzie można przetestować czy mamy włączoną Javę czy nie

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Obrazek zaczerpnięty z Niebezpiecznika.

[buri]

W domu już wyłączyłem rodzince dla pewności, choć zastanawiam się czy postawiony tam zestaw nie stanowi wystarczającej ochrony. Zawsze ustawione wtyczki na żądanie i problem z takimi wirusami sam się rozwiązuje - oczywiście trza być świadomym co się klika jak to zawsze bywa.

[polak900]

ja ma wersję 1.6 i mogę spać spokojnie

[tommyklab]

ja ma wersję 1.6 i mogę spać spokojnie

Java 1.6 nie jest podatna na tą lukę 0day dla 1.7u6, ale może być podatna na inne i chyba jest

[Konto usunięte]

Ja nie mam zainstalowanej javy... jeszcze niedawno miałem bo jeden IDE potrzebował, ale zrezygnowałem z niego (bynajmniej nie ze względu na javę) i teraz już nie mam.

[rafikrafiki]

Kto nie potrzebuje Javy nie powinien mieć jej zainstalowanej. A jeśli już to aktualne wersje. Jednak to oprogramowanie jest tak popularne, że nie da się załatać wszystkich luk, bo będą wykrywane następne, a to łakomy kąsek dla hakerów. Poza tym firma Oracle nie śpieszy się wcale z łataniem luk.

[marsellus]

Dzisiaj wyszła nowa wersja, chyba trochę połatana

[Aby zobaczyć linki, zarejestruj się tutaj]

Pobieranie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tommyklab]

Nie no ręce opadają jak się coś takiego czyta:

Patcha początkowo Oracle planowało wydać w październikuw ramach cyklicznych (co 4 miesiące) aktualizacji. Ale wydało dziś. Tak szybka reakcja Oracle wynika z faktu, iż firma miała już gotowego patcha na tę podatność, bo jak się okazuje, wiedziała o niej od kwietnia .

[Aby zobaczyć linki, zarejestruj się tutaj]

Powinni robić takie urgent update''y jak tylko wiedzą o jakiejś dziurze a nie czekać

[ichito]

Kurde...to co?...czekali aż ktoś to odkryje i zrobi szum, a oni jak dobry wujek podadzą na tacy gotowe już łaty? Normalnie kpina...
Nawet gdyby nie ta afera, to mieli zamiar pół roku czekać na opublikowanie patcha?
---------------
edit:
tak sobie myślę...jak już powyłączałem tę trafną Javę i póki co nic mi życia nie komplikuje z tego powodu, to po jaką cholerę mam wgrywać aktualizację? I pewnie wielu się teraz zastanawia podobnie...przecież to dla Oracle strzał w kolano...

[ichito]

Odświeżam temat, a to z zaskakującej przyczyny...ostatnie doniesienia mówią, że

W kilka godzin po wydaniu wczorajszej poprawki do Javy odkryto, że o ile usuwa ona kilka błędów, to jednocześnie otwiera nowe możliwości ataku. Innymi słowy, Oracle wpadł z deszczu pod rynnę, a ty nawet jeśli masz najnowszą Javę, to i tak możesz zostać “zhackowany”.
(...)
Jak zdradza CW, Adam przesłał już do Oracle raport dotyczący nowej podatności, ale publicznie nie chce zdradzić, na czym ona dokładnie polega. Gowdiak potwierdza jedynie, że wczorajszy patch usuwający z implementacji klasy sun.awt.SunToolkit metody getField i getMethod unieszkodliwił wszystkie exploity PoC, które zgłosił on w kwietniu do Oracle. Dodaje jednak, że poprawka usunęła wyłącznie wektor ataku, a nie samą podatność. Według Gowdiaka, odkryta przez niego nowa dziura, połączona z innymi błędami, które zgłosił do Oracle (a które jeszcze nie są załatane) umożliwia wyjście z sandboksa JVM.

Kiedy Oracle wyda patcha na patcha? Nie wiadomo — miejmy nadzieję, że nie będzie czekać jak ostatnio aż do momentu, w którym w internecie zaczną grasować exploity…

Jeśli wczoraj doszliście do wniosku, że z powrotem zainstalujecie Jave, bo wyszła aktualizacja blokująca ataki, to dziś znów ją odinstalujcie. Tak będzie bezpieczniej.

Za Niebezpiecznikiem

[Aby zobaczyć linki, zarejestruj się tutaj]