Před několika dny jsme psali o mimořádně vydaném sedmém updatu Javy 7, který přinesl po dlouhé době adekvátní reakci na upozornění bezpečnostní firmy Security Explorations, a to v podobě softwarové záplaty. Polská firma pochopitelně zkusila nejnovější vydání Javy otestovat stejnými nástroji jako předtím, avšak skutečně neuspěla. O to větší bylo překvapení, když inženýři velmi rychle dekódovaly způsob, jakým Oracle zranitelnost „ošetřil“. Konkrétně jde o chybu, která umožňuje spuštění škodlivého kódu mimo bezpečnostní sandbox, v němž by webové javovské applety měly běžet.
Oficiální web Javy
Oracle totiž neodstranil samou podstatu dané zranitelnosti, ale pouze ztížil možnost jejího zneužití. Bohužel takovým způsobem, že bezpečnostním technikům Security Explorations stačilo na nalezení nové metody zneužití a modifikaci škodlivého kódu v podstatě pouhých několik hodin. Oracle byl na podrobnosti opět upozorněn, avšak polská firma žádné technické detaily pro vysoké riziko nesdělila veřejnosti. Vážná chyba je zneužitelná prostřednictvím pluginu pro webové prohlížeče, z čehož jasně vyplývá vhodnost jeho deaktivace (a např. pouze příležitostného odblokování). To lze provést následujícím způsobem:
- Internet Explorer: Nástroje – Spravovat doplňky – zakázat „Java Plug-In“,
- Google Chrome: do omniboxu zadat „about:plugins“ – deaktivovat zásuvný modul „Java“,
- Firefox: Hlavní nabídka – Správce doplňků – Zásuvné moduly – zakázat „Java Platform SE“,
- Opera: do adresního řádku zadat „opera:plugins“ – zakázat plugin „Java“.
Web firmy Security Explorations
Uvedené řešení je asi aktuálně (a i dlouhodobě) nejlepší a umožní Javu velmi operativně využít, kdykoli je potřeba. Zároveň zůstane Java v počítači nainstalována pro potřeby desktopových aplikací jako je OpenOffice.org, LibreOffice apod. Nutno říci, že daný postup by šel uplatnit např. i na Flash od Adobe, avšak z důvodu jeho hojného rozšíření již toto řešení není tolik ergonomické není. Důležitá je i informace, že v původním stavu se zranitelnost naučili používat i skuteční hackeři a na internetu je tak rozšířeno mnoho škodlivého kódu. Očividně je jen otázkou krátkého času, kdy i oni své nástroje patřičně adaptují.
Zdroj: techworld.com
