Coraz gorzej z bezpieczeństwem Javy 6. W 2014 to samo czeka Windows XP?

Windows XP nie będzie osamotniony w gronie porzuconegooprogramowania, które mimo wszystkich zagrożeń z tym związanych,wciąż jest wykorzystywane przez znaczący odsetek użytkowników.Zapewne i za 10 lat będziemy jeszcze mogli spotkać tu i ówdziestare komputery, działające pod kontrolą wysłużonego Windows, naktórych zainstalowana jest w dodatku Java 6. Występowanie takichmaszyn w Sieci to sytuacja wymarzona dla hakerów – i nikt niewie, jak ten problem rozwiązać.Niedawno informowaliśmy o nowymzastosowaniu biuletynów bezpieczeństwa Microsoftu – już odkwietnia 2014 roku hakerzy, analizując nowe łatki dla WindowsVista, 7 i 8, będą mogli wyszukiwać dzięki nim luki 0-day wWindows XP, luki, które nigdy nie zostaną już załatane. WedługChristophera Budda z Trend Micro, to samo dziejesię już z wspomnianą Javą 6.[img=exploity]Od lutego Oracle zaprzestało aktualizacji Javy 6, mimo żeszacuje się, że wersja 6 jest używana wciąż przez ponad połowęwszystkich użytkowników tego frameworka, zainstalowanego łączniena nawet trzech miliardach urządzeń na całym świecie. Wydane odtego czasu poprawki bezpieczeństwa dla Javy 7 zostają przebadaneprzez twórców złośliwego oprogramowania. Wykorzystując zdobytąw ten sposób wiedzę, tworzyć oni mają exploity dla Javy 6,zagrażające milionom internautów. To sytuacja bez precedensu, o ile bowiem każdą wersjęoprogramowanie czeka kiedyś koniec wsparcia, to jeszcze nigdy dotądnie porzucono wsparcia dla wersji używanej przez większość. W tensposób powstał niedawno trojan JAVA_EXPLOIT.ABC, załączany dozestawu hakerskich narzędzi Neutrino Exploit Kit – jak wyjaśniaBudd, wykorzystuje on lukę CVE-2013-2463,którą Oracle załatało w lipcu dla Javy 7.Co gorsza, nawet te wszystkie starania Oracle'a, by zabezpieczyćJavę 7, nie oznaczają wcale polepszenia całej sytuacji. Twórcyzłośliwego oprogramowania coraz lepiej sobie bowiem radzą z JavaNative Layer, warstwą pośredniczącą między maszyną wirtualnąJavy a systemem operacyjnym. Ataki takie nie są łatwe doprzeprowadzenia, muszą bowiem obejść systemowe zabezpieczenia, np.ASLR i DEP. Jeśli jednak się powiodą, to ich konsekwencje dlazaatakowanego systemu są znacznie poważniejsze. W minionych latach liczba takich ataków była niewielka; TrendMicro ustaliło,że do 2013 roku stosunek podatności w warstwie Javy do podatnościw warstwie natywnej wynosił 3:1 – jednak w tym rokuzidentyfikowano już cztery luki w warstwie natywnej, więcej niżdla maszyny wirtualnej. Oznaczać to może tylko rosnąceumiejętności hakerów, którym sprostać będą mogły jedyniecoraz bardziej zaawansowane zabezpieczenia, niedostępne jednak dlaniewspieranej już Javy 6.Budd radzi więc, by ci wszyscy, którzy muszą korzystać zestarszych wersji Javy (np. do uruchamiania specjalizowanych aplikacjibiznesowych, które są niekompatybilne z Javą 7), uruchamiali jetylko upewniwszy się, że mają dobre, aktywne zabezpieczenia. Radziteż, by aplikacje napisane w Javie (jak i każde inne oprogramowaniełączące się z siecią) uruchamiać tylko w rzeczywistejpotrzebie, a normalnie Javę w systemie wyłączać. Oczywiście porady takie nie zawsze się da zastosować – Javadziała przecież nie tylko na PC, ale też w niezliczonychurządzeniach wbudowanych, o których istnieniu możemy nawet niewiedzieć, a które mogą być (często niewiadomo po co) podłączone do Sieci. Pojawiają się też obawy,że Windows XP z Javą 6 staną się kombinacją oprogramowaniadoskonale i permanentnie podatnego na ataki. Lato przyszłego roku zapowiada się całkiem gorąco –przynajmniej dla branży bezpieczeństwa IT.