Исследователь Тэвис Орманди сообщил об уязвимости в Java Web Start,
позволяющей хакеру удаленно выполнить вредоносный код в системе под управлением
всех недавних версий ОС Windows, а его соратник Рубен Сантамарта из фирмы
Wintercore заявил, что аналогичная брешь затрагивает и Linux.
Оба эксперта указывают на шокирующую легкость использования бага,
эксплуатацию которого можно осуществить с помощью веб-сайта, тайно рассылающего
вредоносные команды различным компонентам Java, служащим для запуска приложений
в браузерах Internet Explorer, Firefox и прочих.
Орманди рассказал также, что разработчики Java из недавно приобретенного
Oracle соответствующего подразделения Sun были проинформированы о наличии
проблемы, однако не сочли ее заслуживающей того, чтобы нарушить плановый
ежеквартальный график выхода патчей. Оба исследователя с этим категорически не
согласны.
Так, Сантамарта
пишет, что метод, с помощью которого поддержка Java Web Start была добавлена
в JRE – это ничто иное, как сознательно установленный бэкдор или вопиющий случай
поразительной безответственности. По словам эксперта, самое невероятное
заключается в том, что в Sun не смогли правильно оценить уровень риска от этой
утечки после того, как Орманди предоставил им информацию о ней.
В числе уязвимых компонентов Windows, обнаруженных Орманди, значатся элемент
управления ActiveX, известный как Java Deployment Toolkit и плагин для Firefox
под названием NPAPI, служащий для того, чтобы облегчить разработчикам Java
распространение приложений среди конечных пользователей.
Все эти компоненты без надлежащей проверки принимают и обрабатывают команды,
встроенные в URL и веб-страницы, а затем передают их другим компонентам на
исполнение. По словам Сантамарты, добавление скрытого параметра командной строки
позволяет использовать данный баг и на Linux. В настоящее время эксперт изучает
возможность эксплуатации этой бреши для удаленного выполнения кода.
Орманди предупреждает, что без патча защитить себя от этой уязвимости будет
не так-то просто, поскольку одного отключения ActiveX или плагина для Firefox
будет недостаточно. Данный инструментарий ставится отдельно от Java и это
значит, что единственными возможными временными решениями являются установка
специфичных для каждого браузера стоп-битов или внедрение дополнительных функций
в списки контроля доступа. Более подробно об этом написано
здесь.
Впрочем, существует и более радикальный способ решения проблемы, который в
последнее время все чаще кажется заслуживающим внимания. Так, эксперт по
компьютерной безопасности Алекс Сотиров
написал на Twitter о том, что он удалил Java более года назад и до сих пор
не имел ни единой проблемы ни с одним из сайтов. Поэтому исследователю кажется
непонятным, для чего люди до сих используют Java в своих браузерах.
