Forskere finner kritisk sikkerhetsproblem i Java 7 Patch timer etter utgivelse

Sikkerhetseksperter sendte en rapport om sikkerheten til Oracle på fredag ​​sammen med et bevis på konseptutnyttelse, Adam Gowdiak, sikkerhetsselskapets grunnlegger og administrerende direktør, sa fredag ​​via e-post.

Selskapet gjør ikke Jeg planlegger ikke å frigjøre tekniske detaljer om sårbarheten offentlig før Oracle adresserer det, sa Gowdiak.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Oracle brøt ut av den vanlige fire måneders patch-syklusen på torsdag for å frigjøre Java 7 Update 7, en nødsikkerhetsoppdatering som adresserte tre sårbarheter, inkludert to som ble utnyttet av angripere for å infisere datamaskiner med skadelig programvare siden i forrige uke.

Java 7 Update 7 patched også et "sikkerhetsdybende problem" som ifølge Oracle ikke var direkte utnyttbar, men kunne ha blitt brukt til å forverre virkningen av andre sårbarheter.

Patchingen av det "sikkerhetsdybdeproblemet", som Gowdiak kaller en "utnyttelsesvektor", gjengitt alle sikkerhetsbypassutnyttelsene fra Java-virtuelle (PoC) Java Virtual Machine (JVM) som tidligere ble levert av det polske sikkerhetsfirmaet til Oracle , ineffektiv.

Ifølge Gowdiak rapporterte Security Explorations privat rapportering av 29 sårbarheter i Java 7 til Oracle i april, inkludert de to som nå er aktivt utnyttet av angripere.

Rapportene ble ledsaget av totalt 16 proof- of-conce pt-utbytter som kombinerte disse sikkerhetsproblemene for å omgå fullstendig Java-sandkassen og utføre vilkårlig kode på det underliggende systemet.

Fjerning av getField og getMethod-metodene fra implementeringen av sun.awt.SunToolkit-klassen i Java 7 Update 7 deaktivert alle Gowdiak sa.

Dette skjedde imidlertid bare fordi "utnyttelsesvektoren" ble fjernet, ikke fordi alle sårbarheter som ble utvalgt av utbyttene ble patched, sa Gowdiak.

Det nye sikkerhetsproblemet som ble oppdaget av Security Utforskinger i Java 7 Update 7 kan kombineres med noen av de sårbarhetene som ikke er oppdatert av Oracle, for å oppnå en full JVM-sandbox-bypass igjen.

"Når vi har funnet ut at våre komplette Java-sandbok-bypasskoder slutte å fungere etter at oppdateringen ble brukt, så igjen på POC-koder og begynte å tenke på mulige måter å fullstendig bryte den nyeste Java-oppdateringen på igjen, sa Gowdiak. "En ny ide kom, den ble bekreftet, og det viste seg at dette var det."

Gowdiak vet ikke når Oracle planlegger å ta opp de gjenværende sårbarhetene som ble rapportert av sikkerhetseksperter i april eller den nye som ble sendt av sikkerhetsselskapet på fredag.

Det er ikke klart om Oracle vil frigjøre en ny Java-sikkerhetsoppdatering i oktober som den tidligere hadde planlagt. Selskapet reiste ikke umiddelbart en forespørsel om kommentar.

Sikkerhetsforskere har alltid advart om at hvis leverandørene tar for mye tid til å ta opp en rapportert sårbarhet, kan det bli oppdaget av de slemme gutta i mellomtiden hvis de ikke allerede vet det om det.

Det skjedde ved flere anledninger for forskjellige bugjegere å oppdage samme sikkerhetsproblem i samme produkt uavhengig, og dette er det som også kunne ha skjedd i tilfelle de to aktivt utnyttede Java-sårbarhetene som ble adressert av Java 7 Update 7.

"Uavhengige funn kan aldri utelukkes," sa Gowdiak. "Dette bestemte problemet [det nye sikkerhetsproblemet] kan imidlertid være litt vanskeligere å finne."

Basert på erfaringen fra Security Explorations-forskere med jakt på Java-sårbarheter så langt, har Java 6 bedre sikkerhet enn Java 7. "Java 7 var overraskende mye lettere for oss å bryte," sa Gowdiak. "For Java 6 klarte vi ikke å oppnå et komplett sandkompromiss, bortsett fra problemet oppdaget i Apple Quicktime for Java-programvaren."

Gowdiak har ekkoet hva mange sikkerhetsforskere har sagt før: Hvis du ikke trenger Java, avinstaller den fra systemet.