9 miesięcy dziury w Javie na Mac OS X

9 miesięcy dziury w Javie na Mac OS X

Grzegorz Niemirowski
20.05.2009 18:03

W systemie Mac OS X nadal występuje niezałatana groźna dziura wwirtualnej maszynie Javy, która została odkryta w sierpniuubiegłego roku. Luka była obecna w OpenJDK, GIJ, icedtea oraz Sun JRE ale zostałazałatana. Sun zrobił to w grudniu. Jedyną implementacją Javy, którado dziś nie doczekała się łatki jest ta opracowana przez Apple. Nieujęto jej nawet w niedawno wydanej aktualizacji o numerze 10.5.7. Dziura jestpoważna gdyż umożliwia wykonanie dowolnego kodu za pomocąprzeglądarki obsługującej Javę. Ponadto exploit może działaćniezależnie od tego jaką przeglądarkę lub system operacyjny używaofiara. Błąd w Javie polega na tym, że deserializacja obiektu klasysun.util.calendar.ZoneInfo wykonywana jest w trybieuprzywilejowanym przy czym można stworzyć własny obiekt, którybędzie udawał właśnie ZoneInfo. Ponieważ plugin Javy alokuje pamięćz prawami do odczytu, zapisu i wykonania atakujący może obejśćzabezpieczenia ASLR i DEP. Użytkownicy, którzy chcą sprawdzić czy ich Java jest podatna naopisaną lukę mogą to zrobić na stronie zawierającej kod typu proof ofconcept.

Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (19)