Araştırmacılar: Java Runtime ortamlarında ciddi hatalar Masaüstleri, sunucular için

Polonyalı güvenlik araştırma firması Security Explorations'ın Java güvenlik açığı avcıları, en son masaüstü ve sunucu sürümlerini etkileyen yeni bir güvenlik açığı bulduğunu iddia ediyor. Java Runtime Environment (JRE).

Güvenlik açığı, Java'nın Yansıma API bileşeninde bulunur ve Java güvenlik sanal alanını tamamen atlamak ve bilgisayarlarda isteğe bağlı kod çalıştırmak için kullanılabilir, Güvenlik Araştırmaları CEO'su Adam Gowdiak Full Disclosure posta listesine gönderilen bir e-posta. Kusur, Oracle'ın geçtiğimiz Salı günü yayınladığı Java 7 Güncellemesi 21 ve aynı zamanda piyasaya sürülen yeni Sunucu JRE paketi de dahil olmak üzere Java 7'nin tüm sürümlerini etkiliyor.

Adından da anlaşılacağı gibi, Sunucu JRE bir sürümdür Java sunucu dağıtımları için tasarlanmış Java Runtime Environment. Oracle'a göre, Sunucu JRE'si Java tarayıcı eklentisini, Web tabanlı istismarlar için sıkça bir hedef, otomatik güncelleme bileşeni veya normal JRE paketinde bulunan yükleyiciyi içermiyor.

[Daha fazla okuma: Nasıl Windows PC'nizden kötü amaçlı yazılımları kaldırmak için]

Oracle, Java bileşenlerinin savunmasız bileşenlerde API'lere (uygulama programlama arabirimleri) kötü amaçlı girdiler sağlayarak sunucu dağıtımlarında da kullanılabileceğinin farkında olmasına rağmen, bu ileti genellikle Java'nın çoğunun güvenlik açıkları sadece Java tarayıcı eklentisini etkiliyor veya sunuculardaki Java hatalarının kullanım senaryoları olanaksız oluyor. Gowdiak, Salı günü e-posta yoluyla şunları söyledi:

“Kullanıcıların Oracle'ın Java'nın etkisiyle ilgili iddialarının yanlış olduğunu fark etmeye çalıştık. SE savunmasızlıkları, ”dedi Gowdiak. “Oracle tarafından sadece Java eklentisini etkileyecek şekilde değerlendirilen hataların sunucuları etkileyebileceğini kanıtladık.”

Şubat ayında, Güvenlik Araştırmaları eklenti olarak sınıflandırılan bir Java güvenlik açığı için konsept kanıtı yayınladı. Gowdiak, RMI (uzak yöntem çağırma) protokolünü kullanarak sunucularda Java'ya saldırmak için kullanılmış olabileceğini söyledi. Oracle geçen hafta Java güncellemesinde RMI saldırı vektörüne hitap etti, ancak sunuculara Java dağıtımlarına saldıran diğer yöntemler de mevcuttu.

Security Explorations araştırmacıları, Sunucu JRE'ye karşı buldukları yeni güvenlik açığından başarıyla yararlanmadılar. ancak sunucularda güvenilmeyen Java kodunu yüklemek veya yürütmek için kullanılabilecek bilinen Java API'lerini ve bileşenlerini listelediler.

Oracle'ın “Java için Güvenli Kodlama İlkeleri Rehberi” nde belirtilen bileşenlerden birinde bir saldırı vektörü mevcutsa Programlama Dili, “Java sunucusu konuşlandırmaları Pazartesi'den Oracle'a bildirilen bir güvenlik açığı ile saldırıya uğradı, Gowdiak dedi.

Araştırmacı, Yansıtma API'sının Java 7'de güvenlik sorunları için uygulandığı ve denetlendiği bir sorunla uğraştı, çünkü bileşen Şimdiye kadar çoklu güvenlik açıklarının kaynağı olmuştur. Gowdiak, “Yansıma API'si Java güvenlik modeline çok iyi uymuyor ve yanlış kullanıldığında kolayca güvenlik sorunlarına yol açabiliyor” dedi.

Bu yeni hata, Reflection API zayıflığının tipik bir örneğidir. Güvenlik Açığı tarafından Yansıtma API'sı ile ilgili bir genel güvenlik sorununun Oracle'a bildirilmesinden bir yıl sonra bu güvenlik açığı Java 7 kodunda bulunmamalıdır, dedi.