Forskere: Alvorlig feil i Java Runtime Environment for stasjonære datamaskiner, servere

Java sårbarhetsjegere fra polsk sikkerhetsforskningsfirma Sikkerhetseksperter hevder å ha funnet et nytt sikkerhetsproblem som påvirker de nyeste desktop- og serverversjonene av Java Runtime Environment (JRE).

Sårbarheten ligger i Java-komponenten Reflection API, og kan brukes til å omgå helt Java-sikkerhetssandboksen og utføre vilkårlig kode på datamaskiner, Adam Gowdiak, administrerende direktør for sikkerhetseksperter, sa mandag i en e-post sendt til Full Disclosure-postliste. Feilen påvirker alle versjoner av Java 7, inkludert Java 7 Update 21, som ble utgitt av Oracle i fjor, og den nye Server JRE-pakken ble utgitt samtidig, sa han.

Som navnet antyder, er Server JRE en versjon av Java Runtime Environment designet for Java server distribusjon. I henhold til Oracle inneholder ikke Server JRE Java-plugin-modulen, et hyppigt mål for nettbaserte utgaver, autooppdateringskomponenten eller installasjonsprogrammet som finnes i den vanlige JRE-pakken.

[Videre lesing: Hvordan for å fjerne skadelig programvare fra Windows-PCen din]

Selv om Oracle er klar over at Java-sårbarheter også kan utnyttes ved serverutplassering ved å levere skadelig innspilling til APIer (programmeringsgrensesnitt) i sårbare komponenter, har meldingen generelt vært at flertallet av Java Sårbarheter påvirker bare Java-nettleser-plugin-modulen, eller at utnyttelsesscenarier for Java-feil på servere er usannsynlige, sa Gowdiak tirsdag via e-post.

"Vi prøvde å gjøre brukerne oppmerksomme på at Oracle krav var feil med hensyn til Java-effekten SE sårbarheter, sier Gowdiak. "Vi viste at feilene som ble vurdert av Oracle som bare påvirker Java-plugin-modulen, kunne påvirke servere også."

I februar utgav Security Explorations et bevis for konseptutnyttelse for Java-sårbarhet klassifisert som plug-in- basert som kunne ha blitt brukt til å angripe Java på servere ved hjelp av RMI-protokollen (Remote Method Invocation), sa Gowdiak. Oracle adresserte RMI-angrepsvektoren i Java-oppdateringen i forrige uke, men andre metoder for å angripe Java-distribusjoner på servere eksisterte, sa han.

Forskere har ikke bekreftet den vellykkede utnyttelsen av det nye sikkerhetsproblemet de fant mot Server JRE, men de oppførte kjente Java-APIer og komponenter som kan brukes til å laste eller utføre usikker Java-kode på servere.

Hvis det finnes en angripsvektor i en av komponentene nevnt i retningslinjene 3-8 i Oracles retningslinjer for sikker koding for en Java Programmeringsspråk, "Java server distribusjon kan angripes gjennom et sikkerhetsproblem som den rapporterte mandag til Oracle, sier Gowdiak." Forskeren tok problemet med måten Reflection API ble implementert og revidert for sikkerhetsproblemer i Java 7, fordi komponenten har hittil vært kilden til flere sårbarheter. "Refleksjon API passer ikke bra til Java-sikkerhetsmodellen, og hvis den brukes feil, kan den lett føre til sikkerhetsproblemer," sa han.

Denne nye feilen er et typisk eksempel på svakhet i refleksjonss API, sier Gowdiak. Dette sikkerhetsproblemet bør ikke være til stede i Java 7-koden ett år etter at et generisk sikkerhetsproblem relatert til Reflection API ble rapportert til Oracle av Security Explorations, sa han.