Artikel top billede

(Foto: Povl D. Rasmussen)

Beskyldning: Oracle har kendt farlige Java-huller i månedsvis

Oracle blev tilsyneladende helt tilbage i april gjort opmærksom på de åbne sikkerhedshuller i Java, der aktuelt udnyttes i et hastigt stigende antal angreb.

Computerworld News Service: Oracle har siden april kendt til de to sårbarheder i Java 7, der endnu ikke findes nogen rettelser af, som aktuelt udnyttes i malware-angreb.

Det hævder Adam Gowdiak, der er stifter og direktør for det polske it-sikkerhedsfirma Security Explorations.

2. april rapporterede Security Explorations 19 sikkerhedsproblemer i Java 7 til Oracle.

Det drejer sig blandt andet om de to 0-dagssårbarheder - det vil blot sige, at der ikke findes rettelser af dem - som aktuelt udnyttes til at inficere computere med malware, forklarer Gowdiak onsdag via e-mail.

Adam Gowdiaks firma rapporterede endnu flere sårbarheder i Java 7 til Oracle i løbet af de følgende måneder, indtil det samlede antal var oppe på 29.

"Vi demonstrerede 16 fuldstændige kompromitteringer af sandkassen i Java SE 7 i kraft af udnyttelsen af de fejl, vi havde fundet," fremhæver Gowdiak.

Udnytter to sårbarheder

Den Java-angrebskode, der blev offentliggjort på nettet tidligere på ugen og integreret i sættet af exploit-værktøjer ved navn Blackhole, udnytter ifølge analytikere fra sikkerhedsfirmaet Immunity to og altså ikke kun én sårbarhed i Java, som hidtil antaget.

"Den første fejl bruges til at få en reference ind i klassen sun.awt.SunToolkit, der er begrænset til applets, mens den anden fejl anvender den offentlige statiske metode getField på SunToolkit ved hjælp af refleksion med en immediate caller, der er tillid til, som omgår et sikkerhedstjek," forklarer udvikler Esteban Guillardoy fra Immunity tirsdag i et blogindlæg.

Selvom begge disse sårbarheder, hvoraf den ene er i klassen ClassFinder og den anden er i klassen MethodFinder, blev opdaget og rapporteret af Security Explorations til Oracle i april, så blev de i de proof of concept-koder, som firmaet forsynede Oracle med, kun sat i forbindelse med andre fejl og altså ikke hinanden, fortæller Gowdiak.

"Sådan som klassen SunToolkit og dens getField-metode bruges til at opnå en fuldstændig omgåelse af Java Virtual Machine-sandkassen, er helt anderledes end det, vi demonstrerede for Oracle," fortæller han.

Derfor kom angrebet

Læs også:

Sådan beskytter du dig imod den nye Java-sårbarhed.

Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Derfor vurderer analytikerne, at de nye angreb sandsynligvis er resultatet af, at andre uafhængigt har opdaget de samme sårbarheder, frem for at der er sket et læk af oplysninger et sted i processen med rapportering af sårbarheder til Oracle.

Det er dog ikke muligt at sige med 100 procent sikkerhed, påpeger Gowdiak.

"Vi ved ikke, med hvem og i hvilken form eller detaljegrad Oracle eventuelt deler sårbarhedsoplysninger."

Oracle havde ifølge en statusrapport modtaget 23. august i forvejen planlagt at rette to sikkerhedshuller i sin kommende såkaldte Critical Patch Update i oktober sammen med 17 andre fejl i Java 7, der er rapporteret af Security Explorations, fortæller Gowdiak.

Oracle udgiver sikkerhedsopdateringer hvert kvartal.

Rettede kun tre huller

Den seneste Critical Patch Update af Java blev udgivet i juni og rettede kun tre af de sikkerhedshuller, som det polske it-sikkerhedsfirma havde rapporteret.

"Selvom vi holder kontakt med Oracle og kommunikationsprocessen indtil videre har været nogenlunde problemfri, så ved vi ikke, hvorfor Oracle lod så mange alvorlige fejl ligge indtil oktober-opdateringen," bemærker Gowdiak.

Security Explorations har ifølge Gowdiak på nuværende tidspunktet ikke hørt noget om nogen ændringer i Oracles opdateringsplaner.

"Men vi håber, at Oracle vil være opgaven moden og så hurtigt som muligt udgive en Critical Patch Update af Java, der retter disse sikkerhedshuller."

Oracle har ikke svaret på en henvendelse om at kommentere på sårbarheds-rapporterne fra Security Explorations.

Selskabet har heller ikke endnu offentligt kommenteret på de to åbne sårbarheder, der aktivt udnyttes i et hastigt stigende antal angreb.

Læs også:

Sådan beskytter du dig imod den nye Java-sårbarhed.

Ekstremt farlig sårbarhed i Java udnyttes af hackere.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere