Video: 35C3 - The Layman's Guide to Zero-Day Engineering (Oktober 2024)
Forskere har afsløret endnu en nul-dages sårbarhed i Java, og angribere udnytter i øjeblikket det i naturen.
Sikkerhedsfejlen, hvis den udløses, fører til vilkårlig hukommelse læsning og skrivning i Java Virtual Machine, Darien Kindlund og Yichong Lin, to forskere ved FireEye, skrev på FireEye Malware Intelligence Lab-blog torsdag. Hvis det lykkes, henter angrebskoden en McRAT-dråber og informationstjælser Trojan til offerets computer. Det er en anden type fejl end nogle af de andre, vi har set for nylig.
FireEye sagde, at flere af sine kunder så angrebet mod browsere med Java aktiveret. Sikkerhedsfejlene findes i Java v.1.6 Update 41 og den seneste Java v1.7 Update 15, som netop blev frigivet 19. februar ifølge FireEye. Forskerne har allerede afsløret sårbarheden over for Oracle (CVE-2013-1493). Der er i øjeblikket ingen andre oplysninger tilgængelige fra Oracle.
Flere nul-dage
FireEye-forskere opsummerede det herskende holdning godt i postens titel, “YAJ0: Yet Another Java 0-Day.” Mens Java har været et populært angrebsmål i lang tid, ser det ud til at være en udnyttelse af Java nul-dage, der bliver udnyttet i naturen i de sidste to måneder. Det er det samme kat-og-mus-spil, vi har set med andre virksomheder. Der findes en nul-dag, virksomheden lapper den, en ny nul-dag findes. Vask, skyl og gentag.
Oracle, som er kendt for sin modvilje mod at frigive patches uden for planen, har frigivet flere nødopdateringer i det forgangne år, fordi fejlene har været så alvorlige. Virksomheden frigav en planlagt opdatering 19. februar, men det er sandsynligt, at denne fejl vil anspore endnu en nødopdatering.
Sluk for den, eller begræns den
Er du træt af hele lystretten og vil have en måde at springe af? Sluk Java i browseren. Deaktiver plugin. Vi viser dig, hvordan du deaktiverer Java. Er du en af de mange, mange mennesker, der har brug for Java til arbejde og skoleformål og ikke kan slukke Java i browseren?
Her er hvad du kan gøre. Du deaktiverer Java i din standard, primære browser. Den browser, du bruger mest, skal slet ikke have Java. Og så installerer du browseren, som du ikke bruger så ofte - de fleste har generelt mere end en browser installeret på deres computere alligevel - og aktiverer Java i det. Den vigtige ting her er dog, at du aldrig, aldrig nogensinde, absolut aldrig bruger denne browser til at gå til et andet websted end den håndfulde sider, du har brug for for at køre Java. Du skal bruge Blackboard? Du affyrer Java-browseren. Du har brug for at slå noget op, der blev nævnt under Blackboard-sessionen? I stedet for at klikke, kopier linket, affyr din standardbrowser, og indsæt det i.
Det tilføjer en masse ekstra trin, og jeg kan fortælle dem, at det er enormt irriterende. Men jeg føler mig mere sikker på at vide, at jeg reducerer mine chancer for at blive ramt med et vandhulangreb. Tænk på alle disse mobiludviklere på Facebook, Twitter, Microsoft og Apple. De besøgte et iOS-udviklerwebsted (sandsynligvis et websted, de besøgte med regelmæssighed, i betragtning af deres job) med browsere, der havde aktiveret Java, og blev kompromitteret.
Hvis du er irriteret nok, vil du gøre det næste trin, som er at presse virksomheden til at stoppe med at bruge Java. ”Der er ikke længere nogen grund til, at websteder bruger Java-applets, ” fortalte Chester Wisniewski fra Sophos til mig på RSA-konferencen i denne uge. Du kan trykke på IT for at begynde at skifte til et andet produkt. Som kunder kan du bede sælgeren om at komme med et ikke-Java-alternativ, eller når det er tid til at forny abonnementet eller kontrakten, annullerer du og går til et andet produkt. Penge taler.
Wisniewski sagde, at han ikke tog beslutningen om at anbefale at slukke Java let. Han overvejede konsekvenserne nøje og kom til den konklusion, at det i øjeblikket var det sikreste at gøre.
