15:14
15/4/2010

0day na Javę — zanotowano pierwszy atak

Tydzień temu Tavis Ormandy upublicznił błąd bezpieczeństwa w Javie. Wczoraj pracownicy AVG odnotowali pierwszy przypadek wykorzystania wspomnianej dziury do ataku. Ofiarą padli internauci korzystający z serwisu publikującego teksty piosenek songlyrics.com.

Błąd w javaws

Błąd opisany przez Tavisa 9 kwietnia pozwala na odpalenie w systemie ofiary dowolnej aplikacji, o ile wcześniej ofiara zawita na odpowiednio spreparowaną stronę WWW. Na atak podatne są wszystkie wersje Javy od Java 6 Update 10. Sprawdź jaką masz wersję Javy.

Scenariusz ataku

Songlyrics.com z ruchem 1.7 milionów wizyt na miesiąc, przekierowywał swoich użytkowników na rosyjski serwis assetmancomcareers.com, który z kolei wykorzystując opublikowany przez Tavisa exploit próbował podrzucać internautom exploitpacka o nazwie SEO Sploit Pack (chociaż niektórzy wcześniej twierdzili, że Crimepack).

Ładne logo Crimepacka

Tutaj możecie zobaczyć analizę wykorzystanego w ataku kodu wykonaną przez Wepawet.

Jak się ochronić?

Nie wiadomo, czy lub kiedy Oracle zamierza opublikować poprawkę do Javy. Ormandy użytkownikom IE zaleca ustawienie kill bitu dla konsolek ActiveX JDT — opis tutaj. Alternatywą jest wykorzystanie narzędzia AxBan. CLSID wspomnianej konsolki to CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA.

Użytkownicy Firefoksa mogą zablokować dostęp do pliku npdeploytk.dll poprzez mechanizm ACL. Szczegółowy opis tej metody znajdziecie tutaj.
Aktualizacja 15.04.2010 21:48
Oracle wypuściło Java 6 Update 20, który łata w/w błąd.

Przeczytaj także:



15 komentarzy

Dodaj komentarz
  1. No Crime pack faktycznie ma zarąbiste logo, skriptkiddsy chyba zainwestowały w grafika :>

  2. To nie logo, tylko ekran logowania do Crimepacka.

  3. ja tam na tym ekranie widze kasteciarskie logo :>

  4. Dlatego świetną rzeczą jest plugin blocker: odpalasz dopiero jak potrzebujesz. :)

  5. literowka we wpisíe – Java 6 Update 20 a nie 10 chyba :>

  6. @Refresh: OD WERSJI 10, czytamy dokładnie :P

    Jest już poprawka, update 20. Problem w tym, że w moim przypadku załatał lukę via Fx, a z kolei Chrome (beta) stał się podatny… Jedynie Opera 10.10 stoi twardo.

  7. 1. update 20 raczej nie rozwiązuje problemu, “harmless demonstration” z http://seclists.org/fulldisclosure/2010/Apr/119 działa tak samo jak wcześniej

    2. z tego samego zródła “All versions since Java SE 6 update 10 for Microsoft Windows are believed to be affected by this vulnerability.” – wiec nie ma literówki ;-)

  8. osz, jaka gafa ;x ok, to fajszywy alarm wiec ;)

  9. O! Nie mam javy:D

  10. Co do powyzszej “harmless demonstration”, to Avast skutecznie ja wykrywa i blokuje.

  11. “Użytkownicy Firefoksa mogą zablokować dostęp do pliku npdeploytk.dll poprzez mechanizm ACL.”

    Jednymi slowy ta dziura dotyczy tylko Javy dla M$ Windows… tak?

    AndrzejL

  12. Czyżby to nie była słynna g jedynka w logo? ;p

  13. Bojownik MikeHunt donosi (znaczy ja) :P
    http://www.mikehunt.pl/zdj/blad.jpg

    FF 3.6, XP SP3 Pro, Java – edycja sprzed kilku dni. Sprostujcie mnie jeżeli nie o to chodzi bądź ten komunikat jest z czymś innym związany.

  14. co sądzicie o tym ? trafiłem na to przez przypadek
    http://ogrod.leroymerlin.pl/katalog/
    po wejściu od razu reaguje antywirus:
    2010-04-21 15:32:55 Jądro Plik ‘http://clandarksky.info:8080/pics/java.html’
    podobnie jak Mike nie wiem dokładnie czy to ma związek z tematem ale zgłosić nie zaszkodzi ;)

  15. […] całkiem niedawno z racji opieszałości firmy Oracle, jeden z pracowników Google, Tavis Ormandy, ujawnił błędy w Javie, udostępniając exploita. Łatka pojawiła się w kilka […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: