Probléma a Java SE 7 új biztonsági funkcióival
A Security Explorations részéről Adam Gowdiak egy levelet küldött ma a FD levelezési listára, amelyben arról ír, hogy probléma van a Java SE 7 új biztonsági szolgáltatásaival. Az Oracle Java-ért felelős biztonsági vezetője szerint újabban jelentős fejlesztéseket eszközöltek a Java-ban, például azért, hogy megakadályozzák a csendes exploitálásokat. A vezető szerint a probléma az, hogy az emberek nem értik még ezeknek az új szolgáltatásoknak a működését. A 2012. októberében kiadott Java SE 7 Update 10-től kezdve a felhasználó beállíthatja azt a biztonsági szintet, amely akkor kerül használatra, ha a böngészőben aláírás nélküli (unsigned) Java alkalmazásokat futtatnak. A Java teljes letiltásán kívül négy szint állítható be: Idézet: Low Most unsigned Java apps in the browser will run without prompting unless they request access to a specific old version of JRE or to protected resources on the system. Medium Unsigned Java apps in the browser will run without prompting only if the Java version is considered secure. User will be prompted if an unsigned app requests to run on an old version of Java. High User will be prompted before any unsigned Java app runs in the browser. If the JRE is below the security baseline, user will be given an option to update. Very High Unsigned (sandboxed) apps will not run. Gowdiak szerint az a baj, hogy a fentiek csak elméletben működnek. Arra jutottak, hogy bármi is van beállítva a Java Control Panel-en a fenti négy opció közül - akár a "Very High" is - lehetséges aláíratlan (és akár rosszindulatú) Java kódot futtatni. Az általuk készített PoC kód sikeresen végrehajtódott a legfrissebb Java SE 7 Update 11 környezetben Windows 7 alatt, "Very High" beállítások mellett. Gowdiak szerint az Oracle által újabban implementált biztonsági funkciók nem védik meg egyáltalán a felhasználókat a csendes exploitálásoktól. Részletek a levélben.