További Java 7 biztonsági hibák

A jelenleg javított sebezhetőséget felfedező és Oracle számára jelző Adam Gowdiak (Security Explorations) a Computerworld/IDG megkeresésére megemlítette, hogy a most kiadott Java 7 update 7 se ad okot a nyugalomra, mivel átgondolták a helyzetet és találtak egy újabb lehetséges sandbox gyengeséget, amely szintén kihasználható lehet:

"Once we found that our complete Java sandbox bypass codes stopped working after the update was applied, we looked again at POC codes and started to think about the possible ways of how to fully break the latest Java update again," Gowdiak said. "A new idea came, it was verified and it turned out that this was it."

(forrás: http://www.arnnet.com.au/article/435241/researchers_find_critical_vulnerability_java_7_patch_hours_after_release/)

A Gowdiak azt javasolja, hogy próbáljunk meg visszatérni a Java 6 kiadásra, amely biztonsági szempontból mégis csak jobb lehet, illetve távolítsuk el a Java futtató környezetet (JRE/JDK), ha arra nincs kifejezetten szükségünk:

Based on the experience of Security Explorations researchers with hunting for Java vulnerabilities so far, Java 6 has better security than Java 7. "Java 7 was surprisingly much easier for us to break," Gowdiak said. "For Java 6, we didn't manage to achieve a full sandbox compromise, except for the issue discovered in Apple Quicktime for Java software."

Gowdiak has echoed what many security researchers have said before: If you don't need Java, uninstall it from your system.

(forrás: http://www.arnnet.com.au/article/435241/researchers_find_critical_vulnerability_java_7_patch_hours_after_release/)

Mivel a hibák elsősorban a sandbox mechanizmust érintik, megfelelő védelem lehet a Java plugin alapértelmezett kikapcsolása, amelyet csak a szükséges esetekben kapcsolunk vissza.