Onderzoekers vinden een kritiek beveiligingslek in Java 7 patchtallen na verschijning

Beveiligingsonderzoekers van het in Polen gevestigde beveiligingsbedrijf Security Explorations beweren een kwetsbaarheid te hebben ontdekt in de beveiligingsupdate van Java 7 die donderdag is vrijgegeven en die kan worden uitgebuit om te ontsnappen aan de Java-sandbox en willekeurige code uit te voeren over het onderliggende systeem.

Security Explorations stuurde vrijdag een rapport over de kwetsbaarheid voor Oracle samen met een proof-of-concept exploit, Adam Gowdiak, de oprichter en CEO van het beveiligingsbedrijf, zei vrijdag via e-mail.

Het bedrijf heeft geen niet van plan om technische details over de kwetsbaarheid openbaar te maken totdat Oracle het adres aanpakt, zei Gowdiak.

[Lees meer: ​​Hoe malware te verwijderen van uw Windows-pc]

Oracle brak op donderdag uit van de normale viermaandelijkse patchcyclus om Java 7 Update 7 uit te brengen, een noodveiligheidsupdate die drie kwetsbaarheden aanpakte, waaronder twee die door aanvallers werden misbruikt om computers met malware te infecteren sinds vorige week.

Java 7 Update 7 herstelde ook een "security-in-depth issue" dat volgens Oracle niet direct te exploiteren was, maar had kunnen worden gebruikt om de impact van andere kwetsbaarheden te verergeren.

De patching van die 'security-in-depth issue', die Gowdiak een 'exploitatievector' noemt, heeft alle proof-of-concept (PoC) Java Virtual Machine (JVM) veiligheidsbypassuccessen opgeleverd die eerder door het Poolse beveiligingsbedrijf aan Oracle waren voorgelegd , ondoeltreffend.

Volgens Gowdiak meldde Security Explorations in april persoonlijk 29 kwetsbaarheden in Java 7 aan Oracle, waaronder de twee die nu actief worden uitgebuit door aanvallers.

De rapporten gingen vergezeld van in totaal 16 bewijsstukken of-conce pt exploits die deze kwetsbaarheden combineerden om de Java-sandbox volledig te omzeilen en willekeurige code uit te voeren op het onderliggende systeem.

De verwijdering van de methoden getField en getMethod van de implementatie van de sun.awt.SunToolkit-klasse in Java 7 Update 7 heeft alle uitgeschakeld van Security Explorations 'PoC-exploits, zei Gowdiak.

Dit gebeurde echter alleen omdat de' exploitatievector 'was verwijderd, niet omdat alle kwetsbaarheden waarop de exploits waren gericht, waren gepatcht, aldus Gowdiak.

De nieuwe kwetsbaarheid ontdekt door beveiliging Exploraties in Java 7 Update 7 kan worden gecombineerd met enkele van de kwetsbaarheden die nog niet door Oracle zijn vrijgegeven om opnieuw een volledige JVM-sandbox-bypass te maken.

"Zodra we ontdekten dat onze volledige bypass-codes voor de Java-sandbox niet meer werken nadat de update is toegepast, keek opnieuw naar de POC-codes en begon na te denken over de mogelijke manieren om de nieuwste Java-update opnieuw volledig te doorbreken, "zei Gowdiak. "Er kwam een ​​nieuw idee, het werd geverifieerd en het bleek dat dit het was."

Gowdiak weet niet wanneer Oracle van plan is om de resterende kwetsbaarheden te behandelen die zijn gemeld door Security Explorations in april of de nieuwe ingediend door het beveiligingsbedrijf op vrijdag.

Het is niet duidelijk of Oracle in oktober een nieuwe Java-beveiligingsupdate zal uitbrengen zoals eerder gepland. Het bedrijf heeft niet onmiddellijk een verzoek om commentaar geretourneerd.

Beveiligingsonderzoekers hebben altijd gewaarschuwd dat als verkopers te veel tijd nemen om een ​​gemelde kwetsbaarheid aan te pakken, het in de tussentijd door de slechteriken kan worden ontdekt, als ze het nog niet weten about it.

Het gebeurde meerdere keren voor verschillende bug-jagers om dezelfde kwetsbaarheid in hetzelfde product onafhankelijk te ontdekken en dit is ook gebeurd in het geval van de twee actief geëxploiteerde Java-kwetsbaarheden die werden aangepakt door Java 7 Update 7.

"Onafhankelijke ontdekkingen kunnen nooit worden uitgesloten," zei Gowdiak. "Dit specifieke probleem [de nieuwe kwetsbaarheid] is echter misschien wat moeilijker te vinden."

Op basis van de ervaring van Security Explorations-onderzoekers met Java-kwetsbaarheden tot nu toe, heeft Java 6 betere beveiliging dan Java 7. "Java 7 was verrassend veel gemakkelijker voor ons om te breken," zei Gowdiak. "Voor Java 6 zijn we er niet in geslaagd om een ​​volledig compromis met sandbox te bereiken, behalve het probleem dat werd ontdekt in Apple QuickTime voor Java-software."

Gowdiak heeft herhaald wat veel beveiligingsonderzoekers al eerder hebben gezegd: als je dat niet nodig hebt Java, verwijder het van uw systeem.