Luka "zero-day" w Javie załatana! Ciekawostka: Polak wykrył ją 4 miesiące temu...

Firma Oracle wydała patch usuwający błąd w najnowszej Javie. Zrobiła to w zaledwie kilka dni od jego wykrycia. Jak się okazało, udało jej się tego dokonać dzięki naszemu rodakowi, Adamowi Gowdiakowi.

Kilka dni temu w Internecie pojawiły się informacje na temat luki "zero-day" w najnowszej Javie. O ile jednak do tej pory odpowiedzialna ona była za niewiele ataków, o tyle jest ona bardzo niebezpieczna.
Podstawowy kłopot ze złośliwym kodem wykorzystującym wspomnianą lukę jest bowiem taki, że na pierwszy rzut oka wygląda on jak każdy inny program Java bez śladu jakiegokolwiek egzotycznego kodu. Jak więc atakuje? Michael Schierl, który ma już na koncie wykrycie kilku luk w Javie, twierdzi, że wykorzystuje on błąd we wprowadzonej wraz z Javą 7 nowej metodzie dla klasy Expression. Dzięki niemu wykorzystuje on następnie klasę sun.awt.SunToolkit, dzięki której uzyskuje dostęp do metody zwanej getField pozwalającej na "dostęp do prywatnych atrybutów innych klas.


Końcowy efekt tych działań to wyłączenie elementu Security Manager, który sprawdza, czy żądana operacja nie narusza ustalonej polityki bezpieczeństwa.

Kolejną bardzo niebezpieczną właściwością nowej luki jest to, że pozwala ona na zaatakowanie wszystkich platform: Windows, Linux i OS X.

Na szczęście okazało się właśnie, że firma Oracle wydała patche łatające wykrytą w Javie Update 7 lukę. Możecie je pobrać TUTAJ. lub TUTAJ.

Szybkość reakcji firmy Oracle pozytywnie zaskakuje. Jak jej się to udało? W bardzo prosty sposób. Łatka na wspomnianą lukę była już bowiem przygotowana i miała się ukazać w październiku wraz z cykliczną aktualizacją (wydawana ona jest co 4 miesiące).

Skąd się tam znalazła? Dzięki naszemu rodakowi Adamowi Gowdiakowi, który już w kwietniu poinformował Oracle o wykrytym błędzie.

Źródło: Java, Oracle