Oracle Java SE – kritična ranljivost

Oracle Java SE vsebuje kritično ranljivost, ki napadalcu omogoča zagon poljubne programske kode na sistemu. Gre za t.i. 0-day ranljivost, kar pomeni, da popravka ni na voljo. Ranljivost se že aktivno izrablja na internetu, zanjo pa je že na voljo tudi modul za ogrodje Metasploit.

Ranljive platforme

Oracle Java 7 Update 6, zelo verjetno pa tudi ostale verzije 7.x

Po podatkih, ki so trenutno na voljo, so ranljive namestitve Jave na različnih operacijskih sistemih, tako GNU/Linux, Windows kot tudi Mac OS X. Prav tako je ranljivost možno izkoristiti preko različnih brskalnikov (Opera, Internet Explorer, Chrome, Firefox, Safari)

Rešitev

Uradnega popravka, ki bi zakrpal ranljivost, ni na voljo. Po urniku naj bi Oracle izdal nove popravke za Javo šele 16.10.2012. Začasno so na voljo naslednje rešitve:

  • izklop jave v brskalniku;

  • uporaba vtičnikov, ki onemogočajo izjavanje Java kode (npr. NoScript);
  • Na deependreserch.org so objavili, da imajo na voljo neuradni poravek, vendar pa ta ni namenjen končnim uporabnikom;
  • verzije Java 6 niso ranljive, tako da je ena od rešitev tudi vrnitev na zadnjo verzijo Java 6 (Java/JRE 6 Update 34).

Uporabnikom, ki ne potrebujejo Jave, priporočamo da jo odstranijo iz sistema.

Če Javo potrebujete vam svetujemo, da v brskalniku, ki ga uporabljate za običajno brskanje po spletnih straneh, onemogočite Javo. Za brskanje zgolj po tistih spletnih straneh, ki potrebujejo Javo, pa uporabite drug brskalnik.

Povezave

Vir: SI-CERT, 28.8.2012