21:32
31/8/2012

W kilka godzin po wydaniu wczorajszej poprawki do Javy odkryto, że o ile usuwa ona kilka błędów, to jednocześnie otwiera nowe możliwości ataku. Innymi słowy, Oracle wpadł z deszczu pod rynnę, a ty nawet jeśli masz najnowszą Javę, to i tak możesz zostać “zhackowany”.

Nowa dziura w Javie

A kto odkrył nowe możliwości ataku, które wprowadza wczorajsza aktualizacja Javy? Adam Gowdiak, czyli ta sama osoba, która odkryła błąd będący powodem wczorajszego patcha.

Java Fail

Java Fail

Jak zdradza CW, Adam przesłał już do Oracle raport dotyczący nowej podatności, ale publicznie nie chce zdradzić, na czym ona dokładnie polega. Gowdiak potwierdza jedynie, że wczorajszy patch usuwający z implementacji klasy sun.awt.SunToolkit metody getField i getMethod unieszkodliwił wszystkie exploity PoC, które zgłosił on w kwietniu do Oracle. Dodaje jednak, że poprawka usunęła wyłącznie wektor ataku, a nie samą podatność. Według Gowdiaka, odkryta przez niego nowa dziura, połączona z innymi błędami, które zgłosił do Oracle (a które jeszcze nie są załatane) umożliwia wyjście z sandboksa JVM.

Odinstaluj Javę (nawet zaktualizowaną)

Kiedy Oracle wyda patcha na patcha? Nie wiadomo — miejmy nadzieję, że nie będzie czekać jak ostatnio aż do momentu, w którym w internecie zaczną grasować exploity

Jeśli wczoraj doszliście do wniosku, że z powrotem zainstalujecie Jave, bo wyszła aktualizacja blokująca ataki, to dziś znów ją odinstalujcie. Tak będzie bezpieczniej.

Przeczytaj także:

82 komentarzy

Dodaj komentarz
  1. I to jest początek końca Oracla, chyba.
    Ludzie przejdą na implementacje OpenSource, tam więcej oczu pilnuje kodu.

    • I takie przejście było by bardzo pozytywne.

    • Istnieje jakakolwiek alternatywa dla Oraclowego JRE pod Windowsa? Nigdzie nie znalazłem. Buildy IcedTea – archaiczne. Strona OpenJDK odsyła do JRE Oracle. Nie mogę znaleźć nic używalnego.

    • Raczej nie. A jeśli już to bardzo powoli.

    • Użytkownikom Linuksa łatwo powiedzieć, mogą sobie używać IcedTea, OpenJDK, SunJDK, jakieś kakała i inne takie. A my, szarzy Kowalscy z Windowsami? Co mamy do wyboru? Oracle albo nic :(

    • Bzdury. Tam, gdzie nie ma supportu nie będzie poważnych firm. A oprogramowanie opensource nie ma supportu sensu stricte.

      Ot chociażby RedHat, nie udostępnia “własnej” javy, więc takie opinie jak wyżej to tylko pobożne życzenia “twardogłowych” ;) od open source.

    • Faktycznie, ale ja sam w większości siedzę na Windozie.
      Ale jak się ma mocnego kompa (relatywnie) to wmvare,
      virtualbox (mimo że maczał tam łapy Oracl), qemu. (CoLinux.)
      I jazda, z bacupowym obrazem wina, lina i można się dać zainfekować nawet,
      a później wywalić obrazy dysku i załadować znów czysty…

      A swoją drogą jak się postarać to można na Windowsie inną Javę zapewne zamontować.

      I to było by moje pytanie do nowego działu jaki wprowadza Niebezpiecznik.
      Pytanie jak najbardziej związane z bezpieczeństwem, szczególnie teraz.
      Dajmy ludziom do wyboru w jakim basenie mają pływać.

      Jak zainstalować alternatywną machinę Javy w Windosku.
      W śród czytelników jest wielu researcherów i programistów z zacięciem,
      którzy na pewno znajdą jakiś sposób przystępny dla każdego zwykłego Kowalskiego…
      Tylko nie Pingwina Kowalskiego, ten już ma Jave++ na swoim kwantowym komputerze.
      Szeregowy, Rico, Kowalski i Skiper wraz z królem Julianem rządzą ;->

      To może być dobra inicjatywa oddolna zarazem.
      Bo trza to na swoje keyboardy wziąć w końcu.
      Nie wiem, może Wine na Windows (już działa) plus machina Javy OpenSource plus jakieś przeróbki i się skleci własne wirtualne API z możliwym przełączaniem maszyn wirtualnych Javy, a może w przyszłości dużo więcej, jak ludzie się wciągną.

      Wyścig czas zacząć…

    • I dlatego OpenJDK jest tak samo podatne?

    • Cygwin, Mingw i trochę zabawy?
      http://hg.openjdk.java.net/jdk7/build/raw-file/tip/README-builds.html#windows

    • @Piotrze suportu ale czego, dziur jak mam rozumieć (tak sugeruje że są one …) ?
      Ja postuluje tylko i wyłącznie wolność wyboru.
      A teraz mamy tylko wybór miedzy młotem a kowadłem.
      A ludzie od OpenSource coraz częściej oferują płatną pomoc jako usługę.
      Wiec to mit, że tylko wielkie kolosy (na glinianych nogach) mogą oferować support.
      Chyba że sugerujesz iż takie “firmy” szukają kozła ofiarnego na,
      którego mogą zrzucać własną nieudolność, w domyśle na sali sądowej.

    • Jejku… “subiektywny gościu”… Ja to wszystko rozumiem.. Też jestem entuzjasta Open Source. Ale to nie tak – nie tutaj sa konfitury…

      Duze korporacje tez stosuja masowo oprogramowanie opensource… Bo to tansze i lepsze… Support musza miec zeby dostac “certyfikaty”. Certyfikaty sa potrzebne, żeby startować w przetargach. Bez przetargow nie ma duzych biznesów, klientow, pieniedzy i pracy dla nas. Tylko tyle i az tyle.

      Nie ma supportu – nie ma profesjonalnego zastosowania. Jak myslisz dlaczego RedHat caly czas ma się nieźle pomimo tego, że jego system wychodzi w identycznej wersji pare dni po premierze pod nazwa “CentOS”? :)

    • Zwracam honor @Piotrze, w pierwszej chwili wydałeś mi się nawiedzonym głosicielem jedynej słusznej prawdy, jak widać krótkie wypowiedzi są mylące czasem.
      Ogólnie Masz rację i w pełni się z Tobą zgadzam, moja reakcja była podyktowana raczej tym iż co poniektóre firmy zrzucają odpowiedzialność za braki w rzetelności na innych.
      Albo czasem zwykłego informatyka im żal zatrudnić, by doglądał ogródka, bo łatwiej w ich mniemaniu, czekać na gotowe i jak coś się posypie, psioczyć, że to ta wielka firma “NAM” zepsuła projekt, kampanie, bo nie potrafiła nas w 100% wyręczyć byśmy mogli zgarnąć kasiorkę za siedzenie i dyrygowanie.

      A swoją drogą mam wrażenie, że certyfikować zaraz będą umiejętność pisania halo world.
      Rozumiem certyfikaty, ąę, ale w założeniu miały one podnosić poprzeczkę, a nie tworzyć kobylaste firmy zrzeszające wszystkowiedzących łaskawie ($) dających pieczątki.

      I wybaczcie mi Wszyscy ciągniecie tego of-topu w nieskończoność, ale mam wrażenie, że wielu z Was myśli podobnie, tylko czasem trudno zaryzykować spamerstwo by to wyrazić.

  2. Ech…

  3. lepiej by było gdyby Adam zrobił tego patcha (:

    • Byle nie Boduch.

    • @don’t ask a co masz do boducha? imo dobry programista, ale swoją drogą czemu miałby robić patch dla oracle.

    • http://pastebin.com/rx9eb9mg

    • Abuser, i? Nie widzę nic złego w tym kodzie PHP…

    • Wywalanie debugów na pałę na echo z htmlem w środu trochę razi. Ale z drugiej strony nie wiadomo co to za kod i za mało go, żeby cokolwiek sensownego powiedzieć o programiście.

    • http://monk.4programmers.net/pub/mirror/coyote-svn/stable.tgz

      Przejrzyj, ten ORM `$this->delete(‘field_id = ‘ . $fieldId);` to prawie jak klejenie zapytań ręcznie. Parser napisany na tandetnych regeksach ( http://forum.4programmers.net/Coyote/Test )… Ehhhhh, pokazałbym wam więcej, ale jedyne co mam to źródła otrzymane od admina bo na SVN też się nie da wejść (zhackowany?)

  4. Im chyba naprawdę płacą za tworzenie błędów :D

    • Raczej płacą od Patcha.

    • Dostajemy za tego patcha, jako konsultanci 20% ogólnej sumy kosztów i już. Więc im on jest droższy, ten patch tym… no? Koniaczek?
      Wiesz co robi ten patch? On odpowiada żywotnym potrzebom całego społeczeństwa. To jest patch na skalę naszych możliwości. Ty wiesz, co my robimy tym patchem? My otwieramy oczy niedowiarkom. Patrzcie – mówimy – to nasze, przez nas wykonane i to nie jest nasze ostatnie słowo i nikt nie ma prawa się przyczepić, bo to jest patch społeczny, w oparciu o sześć instytucji…

    • for(::) run_patch
      Co ja Patche 〠
      Day by Day Oracle-Fail.

  5. Jak rozumiem OpenJDK też jest podatne? Jest jakaś implementacja javy na pingwina niepodatna i jednocześnie nie pokryta patyną wieków? Wywaliłem icedtea, ale na codzień Xmind musi jakoś kulać ;)

    • Zainstaluj dowolną Javę i używaj Xmind do woli, wyłącz tylko plugin Javy w przeglądarce i nie przejmuj się tymi błędami.

      PS.Tak na przyszłość to polecam przeczytać czym jest IcedTea http://en.wikipedia.org/wiki/IcedTea, bo to nie jest implementacja Javy.

  6. Jak to się dzieje, że oracle’owska Java jest taka marna?

    • Bo w produkcie zamknętym producent może ukrywać przed userem wady/bugi w sofcie (póki ktoś nie narobi smrodu online) oraz kompletnie olać feedback userów pchając swoje (czasami dobre, czasami debilne) pomysły. Ma to swoje plusy (czas na naprawienie buga) ale zwykle rezultatem są takie “niespodzianki”. W open source jak ktoś znajdzie buga, ktoś inny napisze patcha i dla krytycznych środowisk jest opcja żeby naprawić buga zamiast czekać aż producent łaskawie wypuści patcha. Albo samemu naprawić ;]

    • @XANI To są komunałki. W tym wypadku nie ma takiej sytuacji w żadnym wypadku. OpenJDK jest implementacją referencyjną dla Oracle Java7. Tylko plugin i jnlp są zamknięte. I rzeczywiście bug istnieje w obydwu wydaniach.

  7. Do dzisiaj Java to była dla mnie Sun Java. Teraz mogę ją nazwać Oracle Java, bo zrobić faila przy tylu użytkownikach…
    Implementacje open source są lepsze, nawet pomijając brak takich dziur, ale community nie da asysty technicznej firmom i instytucjom, dlatego aż tak atrakcyjne nie są.

  8. Po co odinstalowywać Javę? Po prostu należy zmienić implementację. Warto zwrócić uwagę na to, że podatność występuje w niepublicznej części API zatem zmiana maszyna na np. Open JVM powinna rozwiązać problem.

    • A dasz sobie za to włosa wyrwać?

    • OpenJDK jest tak samo podatne. Może co najwyżej nie mieć wszystkich wektorów ataku.

  9. Kurcze, ja korzystam wyłącznie z linuksa i gdy chcę pobrać z UPC elektroniczną fakturę, to MUSZĘ mieć javę z Oracle. Strasznie mnie to złości, ale niestety to jest powód dlaczego nie mogę przestać jej używać :(

    • Przeca ebok UPC jest we Flashu

    • Ale, by móc pobrać elektroniczną fakturę wymaga ode mnie Javy Oraclowej (inna nie wystarczy).

    • To zwyczajnie to wyłącz, jak nie potrafią wystawić faktury bez jawy i wysłać na maila bez żadnego kombinowania to będą musieli przysłać papierowe faktury tradycyjnym listem (ich problem nie twój, bo jak faktury nie wystawią to już im US da popalić).

    • Ot, zrobili sobie monopol, na trochę mniejszą skalę niż Bosch Motronic :> Z tym że to drugie, jest mniej zawodne.

      ps. a w umowie UPC jest zawarta klauzula że MUSISZ mieć jave oracle?

      pzdr

    • Oczywiście teoretycznie nie ma obowiązku korzystania z Oracle Javy, ale inaczej nie otwiera się okno, gdzie można pobrać fakturę.
      Natomiast, aby skorzystać z umowy w ramach promocji (a bez niej raczej nie warto w ogóle korzystać z ich usług) zdaje się musisz aktywować faktury elektroniczne (to o ile pamiętam jeden z wymogów umowy promocyjnej).
      Jeśli chodzi o faktury i US – to nie oni będą mieli problemy tylko osoba korzystająca – zatem to w moim interesie jest ściągnięcie faktury nie w ich.
      Sytuacja jest bez wyjścia moim zdaniem o ile chcę mieć faktury.
      Może na Windowsie jest inaczej (nie wiem tego, bo nie korzystam z niego).

    • facepalm
      faktury > obraz dokumentu > pokaż obraz i klikasz lpm (co rozpocznie pobieranie fv w pdf)

    • @__zak
      Kolego nie bądź taki mądry. A facepalmy to sobie pokazuj, jeśli nie masz pojęcia o czym piszesz.

      Twoja metoda pozwala pobrać plik PDF, który nie jest nic warty (jest jedynie wizualizacją e-faktury a nie dokumentem, który ma być przechowywany w dokumentacji księgowo rachunkowej i w razie żądania przedstawiony US).
      Dokumentem właściwym jest plik z rozszerzeniem xml, który (wraz z plikami pdf i sig) można pobrać dopiero po kliknięciu w kolumnie “e-faktura”. Po tym kliknięciu właśnie pokazuje się komunikat, że przeglądarka nie ma javy (o ile nie masz właśnie Oracle Javy), albo otwiera się okno z możliwością pobrania tychże plików.

  10. Hmm, po Niebezpieczniku spodziewałbym się czegoś lepszego niż “odinstalujcie Javę”. Naprawdę wyłączenie wtyczki jest tak trudne? A kilka minut zaoszczędzone.

    • Ale problem nie dotyczy tylko wtyczki, wiec zeby sie go calkowicie pozbyc, na chwile obecna nalezy wylaczyc Jave (co prawda nie ma jeszcze exploitow na nowa luke, ale pewnie lada moment ktos niezaleznie odkryje te podatnosc).

      O wylaczeniu wtyczki pisalismy w poprzednim wpisie sagi pt. “Oracle Cluster-Fail”.

    • Saga “Oracle Cluster-Fail”
      Hehe, dobre, dobre, Panie Piotrze ;->
      Żeby tylko nie poszli w ślady “Mody na Sukces”

    • @Piotr: Ups, w sumie racja, mój błąd :)

    • @Piotr: A co po dziurze w zwykłym JRE, jak nie odpala się każdego losowego pliku .jar? Po za tym jeszcze nie ma exploita, więc na razie możemy być spokojni.

    • Jakoś mnie ten wpis że trzeba javę wywalić mnie nie przekonał. Po wyłączeniu wtyczki żadna strona nie zainfekuje mi komputera. Jedynym innym ‘wektorem ataku’ który tam wspominacie jest pobranie i uruchomienie pliku jar — z tym że uruchomione pliki jar domyślnie NIE są w sandboxie — więc ucieczka z niego nie jest potrzebna.

      Jeśli rzeczywiście mimo że mam wyłączony plugin javy w przeglądarce ktoś może zrobić mi kuku napiszcie proszę jak!

    • Lepiej, podeślę Ci .doc z opisem, tylko otwórz go proszę w OpenOffice ;>

  11. Łatać nie łatać, potem instalować i de-instalować … po co ? skoro i tak za 3 dni się okaże że dziura we Flashu albo coś znów z Mac Updates będzie nie tak… życie.

    • To trzeba było zostać przy Win98 i IE4.

  12. Czyli … to wina Adama, Oracle proboje patchowac a ten odkrywa nowe bledy.. wszystko to jego wina albo Tuska..

  13. Vyły już nawet w javie 6 tylko ta się zabezpieczała przed tym.
    http://thexploit.com/sec/java-facepalm/

  14. Zauważyłem, że przycisk dodaj do Wykopu zniknął ;)

  15. Od dawna już mówie, że Java to trup. To tylko kwestia czasu kiedy pójdzie w zapomnienie tak samo jak Flash.

    • Oj nie porównuj javy do flasha… Że oracle dało ciała to nie oznacza że wszystkie frameworki, i cały język się do niczego nie nadaje. Java jest nawet teraz bardzo dobrym językiem który eliminuje większość błędów programistycznych.

    • Ludzie przeportują na C#. I tak już wiele portów bibliotek z Javy powstało na ten o wiele doskonalszy język.

    • C# to oficjalnie tylko platforma M$ dodatkowo będąca kopią javy. Nawet M$ powiedział że .Net jest skrętem w ślepą uliczkę. Poza kilkoma zmianami niestety/ stety jest taka sama jak java.

    • A propo “M$ powiedział” – podaj link!
      Apple powiedziało że rozda każdemu ipada

      .net 4.5 jest teraz… opensourcem….

  16. Zakazać powinni tego wyszukiwania dziur i hakierowania…
    Tak by było najbezpieczniej.

  17. no to klienci Polbanku są udupieni, bo żeby zrobić przelew Java jest wymagana >.>

    • Nie są.

    • Rozwiń myśl, bo twoja lakoniczna wypowiedź wnosi tyle informacji co nic.
      Z tego co wiem to przelew wykonuje się po tym, jak uruchomi się Java, bez niej komunikat banku brzmi iż należy ją zainstalować – jest to sygnowane monitem, że to oprogramowanie jest wymagane. Jak wiesz jak to ominąć to się podziel wiedzą.
      Do wygenerowania certyfikatu banku TEŻ potrzebna jest Java.

    • Jeżeli łazisz po podejrzanych stronach to polecam po prostu wyłączyć plugin Javy, a do korzystania z tej jednej strony która wymaga Javy włączaj plugin albo korzystaj z innej przeglądarki. Jeżeli używasz Opery/Firefoksa/Chrome to po prostu włącz uruchamianie pluginów na żądanie.
      Nie słuchaj panów redaktorów i nie odinstalowuj Javy to jest już niepotrzebna nadgorliwość.

    • Od “łażenia po podejrzanych stronach” – cokolwiek to znaczy, to ja mam osobny bootowalny system, który po sobie żadnych śladów nie zostawia >:]
      Też uważam, że odinstalowywanie Javy jest lekką przesadą. Można przecież w przeglądarce włączyć opcję “uruchamiania na żądanie”, albo w ogóle zablokować uruchamianie jakichkolwiek wtyczek i bazować na “white list”. Problemem jest przekonać – przykładowo ojca, żeby przestał używać Internet Explorera :P i zainteresował się przykładowo taką Operą :)

  18. Jak to ODINSTALOWAĆ JAVĘ??? To jak ja mam na Kurniku grać?

    • Zostaje beta, ale w czym jest pisana to nie wiem.

  19. Jedyne co mnie trzyma przy Javie to JDownloader..

  20. omajgod, again Polish powa ! toMy!

  21. Ktos jeszcze watpi, ze te bugi sa przypadkowe?

    • Jak rany, mialo byc “nieprzypadkowe”.

  22. a nie pisalem :)

  23. Panie Piotrze – to może jakaś promocja na szkolenia dla pracowników Oracla?

  24. Ostatni akapit jest świetny, idealnie opisuje czym jest Java i co się z Javą powinno robić.
    Jest też kubkiem zimnej wody dla wyznawców jedynej słusznej Javy i rzeszy javowych shit-coderów, których produkują uczelnie.

  25. Można sobie samemu zrobić uber-sandbox uruchamiając przeglądarkę z javą w maszynie wirtualnej.

  26. Najgorsze jest to, że mój firmowy VPN nie zadziała bez przeglądarki z Javą. Chociaż, może to i dobrze, jest powód, żeby przestać pracować z domu:)

  27. Hahaha! Od czasów bazy 7.5.4 tylko w dół :-D Nawet Jave szybciej psuja niż kreator…

  28. Taa i właśnie zainfekowało mi notebooka. najpierw info o aktualizacji Javy a potem live security platinum się wpakował. Od zawsze nie lubiłem Javy i nigdy jej nie miałem zainstalowanej na komputerze stacjonarnym. Wczoraj jeszcze do poduszki chciałem poszperać na notebooku i dup, infekcja po wejściu na stronę jakiejś drukarni.

    Teraz pytanie, co zamiast Javy?

  29. No to czas przejść na otwartą technologię – .net :>
    (to nie był sarkazm, w końcu udostępnili źródła .neta 4.5 :P )

Odpowiadasz na komentarz pielgrzym

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.