Oprava kritické bezpečnostní chyby v Javě, kterou Oracle vydal v roce 2013, je neúčinná a lze ji snadno obejít. Bezpečnostní experti varují, že chyba je opět zneužitelná k útokům proti osobním počítačům a serverům s nainstalovanou některou z nejnovějších verzí Javy.
Chybu označovanou jako CVE-2013-5838 ohodnotil Oracle na stupnici závažnosti 9,3 body z 10. Lze ji zneužít na dálku bez ověření uživatele k úplnému narušení důvěrnosti, integrity a dostupnosti systému.
Podle výzkumníků polské bezpečnostní firmy Security Explorations, která původně chybu Oraclu oznámila, mohou útočníci s pomocí chyby vystoupit z bezpečnostního sandboxu Javy, v němž se za běžných okolností spouští veškerý kód.
Ve čtvrtek firma Security Explorations oznámila, že oprava chyby vydaná Oraclem nefunguje a je možné jí triviálním způsobem obejít změnou čtyř znaků v testovacím útočném kódu z roku 2013. Firma vydala i technickou zprávu, v níž podrobněji vysvětluje celý mechanismus.
Nový útok výzkumníci údajně úspěšně otestovali na nejnovějších verzích Javy: Java SE 7 Update 97, Java SE 8 Update 74 a Java SE 9 Early Access Build 108.
Zatím není zřejmé, zda Oracle vydá nouzovou záplatu, aby podchytil tuto zranitelnost, nebo zda počká na příští pravidelnou čtvrtletní aktualizaci s opravami kritických chyb, která má vyjít 19. dubna.
Zdroj: IDG News Service
PŘEDPLATNÉ
ČLÁNKY DO MAILU