De acordo especialistas, nova vulnerabilidade permite contornar o
dispositivo de proteção do Java por completo e executar código
arbitrário em computadores.
Alguns "caçadores" de vulnerabilidades Java da empresa de segurança
polonesa Security Explorations afirmam ter encontrado uma nova
vulnerabilidade que afeta as versões para desktop e servidores do Java
Runtime Environment (JRE).
A brecha está localizada no componente API Reflection do Java e pode
ser usada para contornar por completo a sandbox (dispositivo de
segurança) do software e executar um código arbitrário em computadores,
disse o CEO da Security Explorations, Adam Gowdiak, na segunda-feira
(22) em uma mensagem enviada ao fórum Full Disclosure.
A falha afeta todas as versões do Java 7, incluindo o Java 7 Update
21 e o novo pacote Server JRE - ambos lançados pela Oracle na última
terça-feira.
Como o nome sugere, o JRE Server é uma versão do Java Runtime
Environment projetado para implementações de servidor Java. De acordo
com a Oracle, o Server JRE não contém
o plug-in do navegador (alvo frequente de exploits baseados na web), o
componente de auto atualização ou o instalador encontrado no pacote JRE
regular.
Embora a Oracle esteja ciente de que as vulnerabilidades do Java
também podem ser exploradas em implantações em servidores por meio do
fornecimento de entrada maliciosa nas APIs (interfaces de programação de
aplicativos) de componentes vulneráveis, a empresa tem respondido que a
maioria das falhas do software afeta apenas o plug-in do navegador ou
que os cenários de exploração de falhas em servidores são improváveis,
disse Gowdiak na terça-feira, via e-mail.
"Tentamos fazer com que os usuários estejam cientes de que as
alegações da Oracle estão incorretas com relação ao impacto das
vulnerabilidades do Java SE", disse Gowdiak. "Nós provamos que os erros
avaliados pela Oracle como afetando apenas o plug-in podem também afetar
os servidores."
Problemas em servidores
Em fevereiro, a Security Explorations publicou um exploit prova-de-conceito para uma vulnerabilidade Java classificada como "baseada em plug-in", que poderia ser usada para atacar o software em servidores usando o protocolo RMI (Remote Method Invocation), disse Gowdiak. A Oracle corrigiu o vetor de ataque RMI na atualização do Java na semana passada, mas existem outros métodos de atingir as implementações em servidores, disse o especialista.
Em fevereiro, a Security Explorations publicou um exploit prova-de-conceito para uma vulnerabilidade Java classificada como "baseada em plug-in", que poderia ser usada para atacar o software em servidores usando o protocolo RMI (Remote Method Invocation), disse Gowdiak. A Oracle corrigiu o vetor de ataque RMI na atualização do Java na semana passada, mas existem outros métodos de atingir as implementações em servidores, disse o especialista.
Os pesquisadores em segurança da Security Explorations não
verificaram se a nova vulnerabilidade contra JRE Server pode ser
explorada com sucesso, mas eles listaram APIs e componentes conhecidos
que poderiam ser utilizados para carregar ou executar código Java
arbitrário em servidores.
Se um vetor de ataque existir em um dos componentes mencionados na Guideline 3-8 "Secure Coding Guidelines for a Java Programming Language",
então as implementações de servidor Java podem ser atacadas por meio de
uma vulnerabilidade como a que foi reportada à Oracle na segunda-feira,
disse Gowdiak.
Esta nova falha é um exemplo típico das fraqueza da API Reflection,
disse o especialista. "A API Reflection não se encaixa muito bem no
modelo de segurança do
Java e, se usados de forma inadequada, pode facilmente levar a
problemas de segurança", disse.
Esta vulnerabilidade não deve estar presente no código Java 7, um ano
após um problema de segurança genérico relacionado a API Reflection ser
relatado à Oracle pela Security Explorations, disse.
Fonte: Computerworld
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.