Po besedah raziskovalca v Oraclovi programski opremi Java še vedno obstajajo luknje, ki bi lahko pustile stroje odprte za oddaljeno izvajanje zlonamerne kode.
Posodobitev za Java Standard Edition 7 (SE7) – ki naj bi odpravila zelo kritično ranljivost, ki je ostala stroji, ki so dovzetni za izkoriščanja na daljavo – ni uspelo rešiti vseh težav s programsko opremo, kar pušča odprta vrata za nadaljnje napadi.
Preberi to
Varnost v oblaku: Kako narediti prehod
Preberi zdajRanljivost ničelnega dne, ki so jo odkrili januarja, je bilo veliko poročil, da je bila izkoriščena v naravi, kar je vodilo Nacionalna varnost v ZDA priporoča popolno onemogočanje Jave. Po slabih medijih je Oracle hitro izdal popravek za težavo v obliki posodobitve Java SE7 Update 11.
Vendar Adam Gowdiak, raziskovalec iz Security Explorations, je dejal na Popolnem razkritju poštnega seznama v nedeljo, da obstaja še ena ranljivost v Javi, ki omogoča oddaljeno izvajanje zlonamerne kode - to je izvajanje nepodpisane vsebine Java na spletni strani.
»Kar smo ugotovili in kar je predmet nove varnostne ranljivosti (težava 53), je, da lahko uspešno izvesti v ciljnem sistemu Windows ne glede na štiri nastavitve nadzorne plošče Java," Gowdiak napisal.
Štiri nastavitve nadzorne plošče Java so varnostne nastavitve, uvedene v posodobitvi Java SE7 Update 10 oktobra 2012 za nadzor dostopa do sistema, ki ga imajo nepodpisane aplikacije Java. Uporabniku omogoča, da nastavi spletno varnost Jave na nizko, srednjo, visoko ali zelo visoko. Nastavitev »zelo visoka« pomeni, da se nepodpisane aplikacije ne smejo izvajati zunaj okolja peskovnika, kar teoretično ščiti uporabnika pred morebitnimi grožnjami.
"Težava 53 je bila uspešno izvedena v okolju najnovejše posodobitve Java SE 7 Update 11 (različica JRE 1.7.0_11-b21) pod operacijskim sistemom Windows 7 in z varnostnimi nastavitvami nadzorne plošče Java 'Very High',« je zapisal Gowdiak v razkritje. "Nedavne varnostne 'izboljšave' programske opreme Java SE 7 sploh ne preprečujejo tihih izkoriščanj," je dodal.
Java je pogosto odmevna tarča izdelovalcev zlonamerne programske opreme in spletnih nevšečnikov, saj ima tako veliko namestitev baza (trenutno je v uporabi na več kot 850 milijonih osebnih računalnikih in računalnikih Mac) in pogoste kritično ocenjene varnostne ranljivosti.