Последние уязвимости Java
Взломать почту – значит получить пароли, а такие данные логичнее искать прямо на компьютере пользователя. Небольшие скрипты на Java позволяют эффективно использовать бреши в защите системы, а популярность языка вероятно уже никогда не сойдёт на нет.
В крупных компаниях на Java пишутся программы регулирующие документооборот, вспомогательные утилиты и прочее. А хакеры используют библиотеки JavaScript, для написания небольших, вредоносных скриптов, ведь скрипты Java, запущенные с сайта, исполняются на стороне пользователя.
При этом, проблемы обхода механизмов предотвращения выполнения данных (технология DEP) или ASLR, чаще всего даже не стоит, не говоря уже о кроссбраузерности такого программирования.
Широкие перспективы удалённого доступа открывают инструменты IPMI. Уязвимости Java появляются и устраняются с завидной регулярностью. Здесь рассмотрены наиболее интересные, за 2013 год.
Уязвимость может запустить не подписанный Java-апплет, которым оказаться могла даже программа для взлома почты.
Для защиты от выполнения скриптов неизвестного назначения в обновлении Update 10 для Java 7 была введена система доверенности, состоящая из четырёх уровней, от Low, когда выполняются практически все скрипты, до уровня Very High, когда запуск не подписанного апплета оказывается невозможным.
Первым добрался до уязвимости сотрудник самой компании Oracle – Adam Gowdiak. исследователь опубликовал свои данные в январе 2013-го, а уже в феврале возможность была устранена, но воспользоваться этим всё же успели, а некоторые трояны работают на этой дыре до сих пор.
Так, вредоносная программа Cridex позволяет украсть данные пользователя и произвести взлом почты. Атака начинается с писем от компании BBC, касающихся важной для европейцев темы законопроекта о разовом налоге для людей, хранящих деньги на Кипре. Заражение Cridex происходило после посещения ссылки, ведущей через редирект на Blackhole Exploit Kit
Запуск не подписанного кода возможен из-за того, что объект в HTML может быть создан средствами сериализации Java. Патч Update 13 закрыл ещё 50 брешей в Java 7, в том числе CVE–0422. Однако далеко не все люди обновляют Java ежедневно и вероятно уязвимости будут актуальны ещё весь 2014 год.
Возможность позволяющая взломать почту, интернет-банкинг и пр. была обнаружена компанией FireEye. Для поиска пригодилась технология Malware Protection Cloud. Брешь интересна тем, что в пику большинству других подобных дыр, где обход менеджера безопасности производится напрямую, в ней используется чтение и запись, носящие произвольный характер, непосредственно в память виртуальной машины.
На начальной фазе работы, эксплойт находил в памяти адрес, содержащий данные о внутренней иерархии и структуре виртуальной машины. Среди таких данных можно найти и статус работы менеджера безопасности. Эксплойт просто обнулял все адреса. Далее следовала загрузка и запуск файла svchost.jpg, являющейся ничем иным как вредоносным скриптом McRat.
До успешного заражения и взлома почты дело доходило редко. Связано это с тем, что программе требовалось обнулить большой объём памяти, а сама виртуальная машина, после такого вмешательства, не могла работать стабильно.
Уязвимость актуальна для браузеров, на которых до сих пор стоит Java 6 (с обновлением до 41 патча), или Java 7 (строго с патчем 15).
Пользователям было рекомендовано включить в настройках режим безопасности Very High. 41-й апдейт для шестой Java должен был стать последним, но вероятно в конце этого года можно будет устранить возможность взломать почту, скачав Update 43.
Связана такая долгосрочная поддержка с тем, что многие компании не спешат перейти даже на 7-ю Java, хотя не за горами выход Java 8.
В крупных компаниях на Java пишутся программы регулирующие документооборот, вспомогательные утилиты и прочее. А хакеры используют библиотеки JavaScript, для написания небольших, вредоносных скриптов, ведь скрипты Java, запущенные с сайта, исполняются на стороне пользователя.
При этом, проблемы обхода механизмов предотвращения выполнения данных (технология DEP) или ASLR, чаще всего даже не стоит, не говоря уже о кроссбраузерности такого программирования.
Широкие перспективы удалённого доступа открывают инструменты IPMI. Уязвимости Java появляются и устраняются с завидной регулярностью. Здесь рассмотрены наиболее интересные, за 2013 год.
CVE–0431
Уязвимость может запустить не подписанный Java-апплет, которым оказаться могла даже программа для взлома почты.
Для защиты от выполнения скриптов неизвестного назначения в обновлении Update 10 для Java 7 была введена система доверенности, состоящая из четырёх уровней, от Low, когда выполняются практически все скрипты, до уровня Very High, когда запуск не подписанного апплета оказывается невозможным.
Первым добрался до уязвимости сотрудник самой компании Oracle – Adam Gowdiak. исследователь опубликовал свои данные в январе 2013-го, а уже в феврале возможность была устранена, но воспользоваться этим всё же успели, а некоторые трояны работают на этой дыре до сих пор.
Так, вредоносная программа Cridex позволяет украсть данные пользователя и произвести взлом почты. Атака начинается с писем от компании BBC, касающихся важной для европейцев темы законопроекта о разовом налоге для людей, хранящих деньги на Кипре. Заражение Cridex происходило после посещения ссылки, ведущей через редирект на Blackhole Exploit Kit
Запуск не подписанного кода возможен из-за того, что объект в HTML может быть создан средствами сериализации Java. Патч Update 13 закрыл ещё 50 брешей в Java 7, в том числе CVE–0422. Однако далеко не все люди обновляют Java ежедневно и вероятно уязвимости будут актуальны ещё весь 2014 год.
CVE–1493
Возможность позволяющая взломать почту, интернет-банкинг и пр. была обнаружена компанией FireEye. Для поиска пригодилась технология Malware Protection Cloud. Брешь интересна тем, что в пику большинству других подобных дыр, где обход менеджера безопасности производится напрямую, в ней используется чтение и запись, носящие произвольный характер, непосредственно в память виртуальной машины.
На начальной фазе работы, эксплойт находил в памяти адрес, содержащий данные о внутренней иерархии и структуре виртуальной машины. Среди таких данных можно найти и статус работы менеджера безопасности. Эксплойт просто обнулял все адреса. Далее следовала загрузка и запуск файла svchost.jpg, являющейся ничем иным как вредоносным скриптом McRat.
До успешного заражения и взлома почты дело доходило редко. Связано это с тем, что программе требовалось обнулить большой объём памяти, а сама виртуальная машина, после такого вмешательства, не могла работать стабильно.
Уязвимость актуальна для браузеров, на которых до сих пор стоит Java 6 (с обновлением до 41 патча), или Java 7 (строго с патчем 15).
Пользователям было рекомендовано включить в настройках режим безопасности Very High. 41-й апдейт для шестой Java должен был стать последним, но вероятно в конце этого года можно будет устранить возможность взломать почту, скачав Update 43.
Связана такая долгосрочная поддержка с тем, что многие компании не спешат перейти даже на 7-ю Java, хотя не за горами выход Java 8.
0 комментариев