r   e   k   l   a   m   a
r   e   k   l   a   m   a

Coraz gorzej z bezpieczeństwem Javy 6. W 2014 to samo czeka Windows XP?

Strona główna AktualnościOPROGRAMOWANIE

Windows XP nie będzie osamotniony w gronie porzuconego oprogramowania, które mimo wszystkich zagrożeń z tym związanych, wciąż jest wykorzystywane przez znaczący odsetek użytkowników. Zapewne i za 10 lat będziemy jeszcze mogli spotkać tu i ówdzie stare komputery, działające pod kontrolą wysłużonego Windows, na których zainstalowana jest w dodatku Java 6. Występowanie takich maszyn w Sieci to sytuacja wymarzona dla hakerów – i nikt nie wie, jak ten problem rozwiązać.

Niedawno informowaliśmy o nowym zastosowaniu biuletynów bezpieczeństwa Microsoftu – już od kwietnia 2014 roku hakerzy, analizując nowe łatki dla Windows Vista, 7 i 8, będą mogli wyszukiwać dzięki nim luki 0-day w Windows XP, luki, które nigdy nie zostaną już załatane. Według Christophera Budda z Trend Micro, to samo dzieje się już z wspomnianą Javą 6.

Od lutego Oracle zaprzestało aktualizacji Javy 6, mimo że szacuje się, że wersja 6 jest używana wciąż przez ponad połowę wszystkich użytkowników tego frameworka, zainstalowanego łącznie na nawet trzech miliardach urządzeń na całym świecie. Wydane od tego czasu poprawki bezpieczeństwa dla Javy 7 zostają przebadane przez twórców złośliwego oprogramowania. Wykorzystując zdobytą w ten sposób wiedzę, tworzyć oni mają exploity dla Javy 6, zagrażające milionom internautów.

To sytuacja bez precedensu, o ile bowiem każdą wersję oprogramowanie czeka kiedyś koniec wsparcia, to jeszcze nigdy dotąd nie porzucono wsparcia dla wersji używanej przez większość. W ten sposób powstał niedawno trojan JAVA_EXPLOIT.ABC, załączany do zestawu hakerskich narzędzi Neutrino Exploit Kit – jak wyjaśnia Budd, wykorzystuje on lukę CVE-2013-2463, którą Oracle załatało w lipcu dla Javy 7.

Co gorsza, nawet te wszystkie starania Oracle'a, by zabezpieczyć Javę 7, nie oznaczają wcale polepszenia całej sytuacji. Twórcy złośliwego oprogramowania coraz lepiej sobie bowiem radzą z Java Native Layer, warstwą pośredniczącą między maszyną wirtualną Javy a systemem operacyjnym. Ataki takie nie są łatwe do przeprowadzenia, muszą bowiem obejść systemowe zabezpieczenia, np. ASLR i DEP. Jeśli jednak się powiodą, to ich konsekwencje dla zaatakowanego systemu są znacznie poważniejsze.

W minionych latach liczba takich ataków była niewielka; Trend Micro ustaliło, że do 2013 roku stosunek podatności w warstwie Javy do podatności w warstwie natywnej wynosił 3:1 – jednak w tym roku zidentyfikowano już cztery luki w warstwie natywnej, więcej niż dla maszyny wirtualnej. Oznaczać to może tylko rosnące umiejętności hakerów, którym sprostać będą mogły jedynie coraz bardziej zaawansowane zabezpieczenia, niedostępne jednak dla niewspieranej już Javy 6.

Budd radzi więc, by ci wszyscy, którzy muszą korzystać ze starszych wersji Javy (np. do uruchamiania specjalizowanych aplikacji biznesowych, które są niekompatybilne z Javą 7), uruchamiali je tylko upewniwszy się, że mają dobre, aktywne zabezpieczenia. Radzi też, by aplikacje napisane w Javie (jak i każde inne oprogramowanie łączące się z siecią) uruchamiać tylko w rzeczywistej potrzebie, a normalnie Javę w systemie wyłączać.

Oczywiście porady takie nie zawsze się da zastosować – Java działa przecież nie tylko na PC, ale też w niezliczonych urządzeniach wbudowanych, o których istnieniu możemy nawet nie wiedzieć, a które mogą być (często nie wiadomo po co) podłączone do Sieci. Pojawiają się też obawy, że Windows XP z Javą 6 staną się kombinacją oprogramowania doskonale i permanentnie podatnego na ataki.

Lato przyszłego roku zapowiada się całkiem gorąco – przynajmniej dla branży bezpieczeństwa IT.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.