Skip to end of metadata
Go to start of metadata

Ez a hír elég érdekes, kíváncsi lennék a véleményekre:
http://index.hu/tech/2013/01/11/veszelyes_a_java/
Vegyük észre, hogy az index csak az MTI hírt vette át, valószínűleg szórul szóra megjelenik majd máshol is a laikus médiában. Kérdéseim:
1. Mennyiben súlysabb ez a sebezhetőség, mint a pár hónappal korábbi 2-3 másik appletet célzó támadás?
2. Mikor futtattál utoljára appletet böngészőből a webről? (Oké, sajna az egyetem Juniper VPN kliense Linuxon végrehajt egy appletet, de azon kívül én talán 10 éve)
3. Mi az hogy "ritkán kerül sor arra, hogy kifejezetten számítástechnikai biztonsággal foglalkozó cégeken kívül kormányzati szervek is biztonsági figyelmeztetést adjanak ki egy szoftverre". Őőő. Izé. A CERT nem ad ki minden nyilvános sebezhetőségről jelentést?
4. "a biztonsági résen keresztül a hekkerek megbízható weboldalakat is megfertőzhetnek, és azon keresztül tudnak rosszindulatú szoftvereket telepíteni az oldalakat felkereső számítógépekre". Azt tudjuk hogy rengeteg banki szoftver rendszer Java alapú. Azt hittem ezek az applet támadások kliens oldalon támadnak. Szervert is lehet támadni? Igaz-e ez? Ez új erre a mostani sebezhetőségre nézve?
5. Ha valami a hírben eltólzott vagy fals információ, akkor lehetőség van-e az MTI hírt javítani valahogy?

Ez az egész könnyen elmehet abba az irányba, hogy a média alaptalanul általánosítja a támadásokat. Pl. appletek helyett az egész Java rendszert kiáltja ki sebezhetőnek (szerintem sok laikusnak azonnal ez jön le, azt se tudják mi az az applet). Kliens és szerver oldal egybemosva, stb.

      
      
Page viewed times

14 Comments

  1. Ránézésre nem súlyosabb, ugyanaz a sandbox kitörés a végeredmény, ami eddig is napirenden volt (és van, ahol nem frissítettek a legújabb verzióra!), csak valószínűleg egy másik útvonalon lehet kijutni... de az előzőek is eléggé súlyosak abból a szempontból, hogy a felhasználó tudta nélkül akár telepíteni lehet a gépre bármilyen rosszindulatú kódot.

    A második pont abból a szempontból érdekes, hogy átlagos felhasználónak mostanában nagyon kevés esetben van szüksége Java applet-re, de ha szüksége van, akkor nagyon: vagy azért, mert szükséges valamilyen tevékenységéhez, vagy azért, mert a munkahelyén használ olyan szoftvereket, amelyek applet technológián alapulnak.

    A harmadik pontot kihagynám, bár az tény, hogy a Java biztonsági hibák sokkal nagyobb publicitást kapnak az utóbbi időben, mint a hasonló súlyosságú böngésző sebezhetőségek...

    A negyedik pont kissé hülyeségnek tűnik... nem ezen a biztonsági résen fertőznek meg weboldalakat, hanem másik sebezhetőséget használnak fel arra, hogy egy trójai applet-et juttassanak be egy weboldalra és azzal fertőzzék meg a kliens számítógépet... szóval szervert ezekkel a sandbox sebezhetőségekkel nem lehet megtámadni, csak az átlag újságírónak összefolyik az, hogy mit is jelent a Java.

    Biztos lehet valahogy az MTI felé jelezni... (smile)


    Azt még hozzátenném, hogy az időzítés is remek volt... az Oracle már kiadta a Java7u10 verziót (november közepén az eredeti december közepei időpont helyett), amely egy security update volt, a következő security update pedig áprilisban várható az eredeti ütemezés szerint, mert az Oracle kéthavonta ad ki update-et, és felváltva security, illetve feature-bugfix update jön ki... szóval várható ismét egy rendkívüli update...

  2. 2. szamomra pontosan egy site van, ahol kell. de sajna az megkerulhetetlen. cib internet bank. Szerintem jelen esetben inkabb azzal van a baj, hogy ha be van allitva a java plugin a bongeszo ala akkor mar mukodik a hack, mivel nem veszed eszre a betoltest. Ezert nalam a chrome az elsodleges browser / plugin nelkul, cib-re meg ffox / pluginnal. Mondjuk erzesem szerint en mint linux felhasznalo nem tartozok az elsodleges celpontok koze, ha feltolt egy win dll -t csendben azt aztan futtathatja, de ha meg is nezi a user agentbol az os -t, nem root -kent fut a bongeszo, sokmindent nem tud csinalni.

    4. igen, elegge szerencsetlenul / rosszul fogalmaz. A resen keresztul nem tud megfertozni "biztonsagos weboldalt" (smile) Ha mar felrakta oda az appletet akkor szivas van a kliensek fele, de ez elobbit nem kellene a java szamlajara irni.

    Szerintem amugy annyira nem foglalkoztak az elmult idoben (ertsd az elmult 10+ evben) az applet biztonsaggal hogy nem valo bongeszobe. Javafx is be lett teve a fagyasztoba. A java szerver oldalra es desktop alkalmazasra kivalo, a tobbibe tobb energiat kellene tolni hogy allja a versenyt. 

  3. Az ügyben az index.hu-nél és az MTI-nél megbízhatóbb források közül az egyik (azért szoktam pont ezt olvasni, mert elég olvasmányosak a cikkek):

    http://nakedsecurity.sophos.com/2013/01/10/protect-yourself-against-latest-java-zero-day-vulnerability-now-maljavajar-b/

    Valamint egy másik cikk arról, hogy az Apple és a Firefox is azonnal lépett, és mind a ketten a frissítéssel letiltották a böngészőkben a Java appletek és a Java web start futtatást.

    http://nakedsecurity.sophos.com/2013/01/11/apple-and-mozilla-just-say-no-to-java/

    Az Atlassian JIRA használ Java plugin-t, amikor screenshot-ot akarsz csatolni egy issue-hoz, de ugyanazt az eredméányt kapod, ha fájlként csatolod, ez utóbbihoz pedig már nincs szükség Java-ra.

     

  4. Tóth Csaba AUTHOR

    Az eddigi hozzászólások igazolják a sejtéseimet, és még plusz információkat is kaptam! Köszönöm!

    Azért tettem fel költői kérdéseket, mert nem vagyok naprakész az underground körökben és sose lehet tudni, hogy milyen új sebezhetőséget találtak ki. Ha például megfertőzik a kliens oldalt, akkor elképzelhető-e az, hogy oda beinjektálnak olyan rosszindulatú preparált osztályokat, amelyeket későbba szerver oldali fél megkap a kommunikáció során, és végül azt is sikerül irányítás alá vonni. Ez mondjuk egy indirekt támadás, de elméletileg nem zárnám ki.

    Egyébként a sebezhetőséget nem szeretném sem elbagatellizálni, sem eltúlozni. Viszont a hír ezek szerint úgy tűnik, hogy tudatlanság okán túloz.

  5. Ha megfertőzi a klienst, hogy onnan a szerverre ... ? Hogyan van ez? Akkor már miért nem megy direkt a szerverre. A saját gépét el sem kell foglalnia, onnan azt futtat amit akar.

    1. Tóth Csaba AUTHOR

      Csak gondolkodtam, hogy hogyan lehetséges az, ami az MTI hírben van, hogy szerver oldalt is fertőzhetnek. Természetesen valószínűleg "direkt" a szerverre megy majd a támadó, indirekció nélkül, persze nyilván valamilyen zombi gépről indulva azért.

    1. From scratch újraírni felesleges dolog lenne... szerver oldalon nincs sandbox igény, kliens oldalon desktop működés esetén szintén nincs sandbox igény... a fránya applet megoldások pedig ki fognak kopni... főleg akkor, ha a böngészők blokkolják a futást is... idővel lesz egy white list, amire az ember felveszi azokat az applet megoldásokat, amelyekre feltétlenül szüksége van, a többire meg feldob a böngésző valamit, hogy veszélyes, és biztos kell-e futtatni...

      Meglátásom szerint az Oracle most erősen bajban van a Java desktop és mobil megoldásokkal, mert se a JavaME, se a JavaFX nem akar terjedni... az Android meg szaporodik, mint a gomba eső után, és már-már a desktop megoldásokat veszélyezteti... bár ezen a területen egyelőre a Microsoft-nak van erősebb félnivalója... szóval érdekes jövője lesz a Java-nak, előfordulhat, hogy szétszakad szerver oldali és kliens oldali megoldásokra...

  6. Tóth Csaba AUTHOR

    Az MTI hírben azért hangsúlyozhatják, hogy a CERT figyelmeztet, mivel a szokásos sebezhetőségi besoroláson kívül valóban a kikapcsolásra:
    https://www.cert.org/blogs/certcc/2013/01/java_in_web_browser_disable_no.html
    A másik dolog pedig, hogy állítólag ha az Internet Explorerben kikapcsolják a Java add-on-t, még akkor is kihasználható a sebezhetőség. Emiatt juthatnak arra a következtetésre egyes helyeken, hogy a legbiztonságosabb, ha a Java-t teljesen uninstallálják.
    Amúgy a sebezhetőség már egy ideje elérhető több exploit kitben is. Az underground körök egy lépéssel előrébb járnak.

  7. Anonymous