Videó: Zero-day vulnerability in Bash - Suidbash Google CTF Finals 2019 (pwn) (November 2024)
A kutatók egy újabb nulla napos sebezhetőséget fedeztek fel a Java-ban, és a támadók jelenleg vadon élnek ezzel.
A biztonsági hiba, ha elindul, önkényes memória olvasást és írást eredményez a Java virtuális gépen, Darien Kindlund és Yichong Lin, a FireEye két kutatója, írta a FireEye Malware Intelligence Lab blogja csütörtökön. Ha sikeres, a támadási kód letölt egy McRAT csepegtetőt és információt lopó trójai az áldozat számítógépére. Ez más típusú hiba, mint a többiek között, amelyeket a közelmúltban láttunk.
A FireEye szerint több ügyfele látta a Java engedélyezett böngészők elleni támadást. A biztonsági hibák a Java v.1.6 41-es frissítésében és a legfrissebb Java v1.7-es 15-es frissítésben találhatók, amelyet a FireEye szerint nemrégiben február 19-én adtak ki. A kutatók már felfedezték az Oracle-val szembeni sebezhetőséget (CVE-2013-1493). Jelenleg nincs más információ az Oracle-től.
Több nulla nap
A FireEye kutatói az „YAJ0: Egy újabb Java 0-nap” címben röviden összefoglalják az uralkodó érzelmet. Noha a Java már régóta népszerű támadási célpont, úgy tűnik, hogy felfedezik a Java nulla napjainak kiaknázását. vadonban az elmúlt két hónapban. Ugyanaz a macska-egér játék, amit más cégeknél láttam. Megtalálható egy nulla nap, a cég javítja azt, új nulla napot talál. Mossa, öblítse le és ismételje meg.
Az Oracle, a vállalat, amely hajlandóságot ad a javítások ütemezés nélküli kiadására, számos vészhelyzeti frissítést adott ki az elmúlt évben, mivel a hibák annyira súlyosak voltak. A cég február 19-én kiadott egy ütemezett frissítést, de valószínű, hogy ez a hiba újabb vészhelyzet javítását fogja ösztönözni.
Kapcsolja ki, vagy korlátozza
Fáradt vagy az egész vidám körútból, és szeretne egy utat tudni ugrani? Kapcsolja ki a Java böngészőt. Tiltsa le a plugin-t. Megmutatjuk, hogyan kell letiltani a Java-t. Ön egy a sok-sok közül, akiknek Java-ra van szükségük munka és iskolai célokra, és nem tudják kikapcsolni a Java-t a böngészőben?
Itt van, mit tehet. Az alapértelmezett elsődleges böngészőben letiltja a Java alkalmazást. A leggyakrabban használt böngészőnek egyáltalán nem szabad Java. Ezután telepíti azt a böngészőt, amelyet nem használ gyakran - általában a legtöbb embernél egynél több böngésző van telepítve a számítógépére - és engedélyezte a Java-t ebben. A legfontosabb dolog itt azonban az, hogy soha, soha, soha, soha nem használja azt a böngészőt, hogy más webhelyekre jusson, azon maroknyi webhelyen kívül, amelyen a Java futtatásához szüksége van. Használnia kell a táblát? Kiindítja a Java-böngészőt. Ki kell keresnie valamit, amelyet megemlítettek a tábla tábláján? A kattintás helyett másolja a linket, indítsa el az alapértelmezett böngészőt, és illessze be.
Nagyon sok extra lépést tesz fel, és elmondhatom, hogy ez rendkívül bosszantó. De biztonságosabbnak érzem magam, ha tudom, hogy csökkentem az esélyem, hogy öntözési lyukkal támadjak. Gondoljon azokra a mobil fejlesztőkre a Facebookon, a Twitter, a Microsoft és az Apple. Meglátogatták egy iOS fejlesztői webhelyet (valószínűleg egy olyan webhelyet, amelyet rendszeresen meglátogattak, figyelembe véve a munkájukat), olyan böngészőkkel, amelyekben Java engedélyezve volt, és veszélybe kerültek.
Ha elég bosszantott, megteszi a következő lépést, amely nyomást gyakorol a vállalatra, hogy hagyja abba a Java használatát. „Nincs több oka annak, hogy a weboldalak használják a Java kisalkalmazásokat.” - mondta a Chester Wisniewski, a Sophos, a héten az RSA konferencián. Megnyomhatja az IT-t, hogy másik termékre váltson. Mint ügyfelek, megmondhatja az eladónak, hogy dolgozzon ki egy nem-Java alternatívát, vagy ha eljön az ideje, hogy megújítsa az előfizetést vagy a szerződést, akkor lemond, és más termékre lép. A pénz beszél.
Wisniewski elmondta, hogy nem döntött úgy, hogy a Java könnyű kikapcsolását ajánlja. Gondosan mérlegelte a következményeket, és arra a következtetésre jutott, hogy ez a legbiztonságosabb dolog.
