9 miesięcy dziury w Javie na Mac OS X

Strona główna9 miesięcy dziury w Javie na Mac OS X
20.05.2009 18:03
Grzegorz Niemirowski
Grzegorz Niemirowski

W systemie Mac OS X nadal występuje niezałatana groźna dziura wwirtualnej maszynie Javy, która została odkryta w sierpniuubiegłego roku. Luka była obecna w OpenJDK, GIJ, icedtea oraz Sun JRE ale zostałazałatana. Sun zrobił to w grudniu. Jedyną implementacją Javy, którado dziś nie doczekała się łatki jest ta opracowana przez Apple. Nieujęto jej nawet w niedawno wydanej aktualizacji o numerze 10.5.7. Dziura jestpoważna gdyż umożliwia wykonanie dowolnego kodu za pomocąprzeglądarki obsługującej Javę. Ponadto exploit może działaćniezależnie od tego jaką przeglądarkę lub system operacyjny używaofiara. Błąd w Javie polega na tym, że deserializacja obiektu klasysun.util.calendar.ZoneInfo wykonywana jest w trybieuprzywilejowanym przy czym można stworzyć własny obiekt, którybędzie udawał właśnie ZoneInfo. Ponieważ plugin Javy alokuje pamięćz prawami do odczytu, zapisu i wykonania atakujący może obejśćzabezpieczenia ASLR i DEP. Użytkownicy, którzy chcą sprawdzić czy ich Java jest podatna naopisaną lukę mogą to zrobić na stronie zawierającej kod typu proof ofconcept.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (19)