„Minden internetezőnek javasolt a Java futtatókörnyezet letiltása a böngészőben, olyan kritikus sebezhetőséget találtak benne ugyanis, amelyet rendkívül egyszerű kihasználni és a támadók már el is kezdték ezt.
Foltozatlan sebezhetőséget találtak a Javában, amelyet már el is kezdtek támadni, írja több iparági szaklap, köztük a nyílt forrású szoftverekre szakosodott H-Online.
Egy magát kafeine-nek nevező biztonsági szakértő talált rá a résre, felfedezését az AlienVault biztonsági cég is megerősítette. A sérülékenység lehetőséget ad a támadók számára tetszőleges kód távoli futtatására a legfrissebb, Java 7 Update 10 verzión, az exploit ellen védekezni nem lehet, egyedüli megoldást a Java böngészőplugin letiltása jelent. Egyelőre nem tudni, a korábbi verziók érintettek vagy védettek-e az ilyen típusú támadások ellen. A kafeine által írt exploit nem működött Java 6-on, de ez nem jelenti azt, hogy az a verzió feltétlen biztonságban lenne.
A sebezhetőséget máris aktívan kihasználják kártevők terjesztésére, a Black Hol és Nuclear Pack „exploit kitek” is tartalmazzák már a támadásokat. Mivel a sebezhetőség viszonylag egyszerűen kihasználható, valószínűleg gyorsan meg fog szaporodni azon weboldalak száma, amelyeken megtalálható az exploit, írja a H-Online. A támadáshoz elég meglátogatni egy ilyen weboldalt, a felhasználó részéről semmilyen interakció nem szükséges, egyszerű „drive by” letöltésről van szó.
Amíg az Oracle ki nem adja a javítást, az egyetlen védekezési lehetőség a Java plugin letiltása a böngészőkben, illetve Internet Exploreren a Java eltávolítása – a H-Online szerint ugyanis a Microsoft böngészőjében akkor is elérhető a Java, ha a plugin le van tiltva. A sebezhetőség látszólag minden operációs rendszeren kiaknázható, nem csak Windowson, ezért OS X-et vagy Linuxot futtató felhasználóknak ugyanúgy javasolt a Java tiltása a patch érkezéséig. Ez elsősorban üzleti környezetben jelenthet problémát, a vállalati felhasználóknál sokszor elengedhetetlen a Java futtatási környezet a napi feladatok ellátásához.”
„A magyar felhasználók számára a biztonsági figyelmeztetésben jelzett probléma jelenlegi ismereteink szerint nem jelent kockázatot, adataik nincsenek veszélyben” – írta a Népszabadság tegnap esti megkeresésére a Nemzeti Fejlesztési Minisztérium arra – az MTI által idézett – hírre reagálva, mely szerint az amerikai belbiztonsági minisztérium (Department of Homeland Security) szoftverbiztonsági figyelmeztetést adott ki és az Oracle Java futtatókörnyezet kikapcsolására szólította fel a felhasználókat.
A bejelentés azért keltheti fel a magyar vállalatvezetők, illetve állampolgárok érdeklődését, mert az államigazgatás is használja ezt a programot. Aki ma interneten adja be adóbevallását, annak előbb le kell töltenie a Java programot, mert csak ennek a segítségével tudja eljuttatni az adatokat az adóhatósághoz.
Figyelembe véve, hogy egyre többen használják az internetet a bevallásaik elkészítéséhez – több százezer ügyfélkapus kapcsolaton keresztül jutnak el az adóhatósághoz ezek az információk – egyáltalán nem lényegtelen a felhasználók számára, hogy a Java program használata során alkalmasint olyan programok is települhetnek a gépükre, amelyekkel bizalmas információk kerülhetnek illetéktelen kezekbe.
Hogy ez mennyire nem megalapozatlan riogatás, arra bizonyíték a belbiztonsági minisztérium [Egyesült Államok] közleménye, mely szerint hackerek megtalálták a módját annak, hogyan lehet a Java programmal rosszindulatú szoftvereket telepíteni a számítógépekre, és átvenni felette az irányítást. Ráadásul elismerik, hogy a problémára egyelőre nincs megoldás, ezért „védekezésképpen a Java böngészőbővítmény kikapcsolását” javasolják. (Ezzel együtt a riasztás nem példa nélküli, korábban már adtak ki hasonlót.)
A szaktárca is készen áll arra az esetre, ha mégis lépni kell, mint írták: „Ha mégis kormányzati beavatkozásra lenne szükség, az erre hivatott állami szerv, a Nemzeti Biztonsági Felügyelet megteszi a szükséges lépéseket”. ”
Forrás:
Veszélyes sebezhetőség miatt érdemes kikapcsolni a Javát; Bodnár Ádám; HWSW.hu; 2013. január 11.
Vírusos lehet az adóprogram; Népszabadság; 2013. január 11.
CERT Releases Oracle Java 7 Security Advisory; Department of Homeland Security’s United States Computer Emergency Readiness Team (US-CERT); 2013. január 10.
