الباحثون يبحثون عن نقاط ضعف حرجة في Java 7 Patch Hours بعد الإصدار

يزعم باحثون أمن من شركة Security Explorations ومقرها في بولندا أنهم اكتشفوا ثغرة أمنية في التحديث الأمني ​​لـ Java 7 الذي تم إصداره يوم الخميس والذي يمكن استغلاله للهروب من sandbox Java وتنفيذ أوامر عشوائية على النظام الأساسي.

أرسلت الاستكشافات الأمنية تقريرا عن الضعف إلى أوراكل يوم الجمعة جنبا إلى جنب مع استغلال دليل على مفهوم ، آدم Gowdiak ، مؤسس شركة الأمن والرئيس التنفيذي قال يوم الجمعة عبر البريد الإلكتروني.

والشركة لا يخطط جودياك للإفصاح عن أي تفاصيل تقنية حول الضعف بشكل عام حتى يعالجها أوراكل.

جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

اندلعت Oracle عن دورة الترقيع الدورية التي تستغرق أربعة أشهر يوم الخميس لإصدار تحديث 7 Java 7 ، وهو تحديث أمني طارئ يتناول ثلاثة نقاط ضعف ، بما في ذلك اثنتان تم استغلالهما من قبل المهاجمين لإصابة أجهزة الكمبيوتر ببرامج ضارة منذ في الأسبوع الماضي.

قام Java 7 Update 7 أيضًا بتصحيح "مشكلة في العمق" والتي ، وفقًا لأوراكل ، لم تكن قابلة للاستغلال بشكل مباشر ، ولكن كان يمكن استخدامها لتفاقم تأثير نقاط الضعف الأخرى.

الترقيع من هذه "المسألة الأمنية المتعمقة" ، التي يطلق عليها Gowdiak "مكافحة ناقلات ،" جعلت كل الحماية من المفهوم (PoC) Java Virtual Machine (JVM) أمن تجاوز الاستغلالات التي سبق أن قدمتها شركة الأمن البولندية إلى Oracle

وفقاً لـ Gowdiak ، ذكرت شركة Security Explorations بشكل خاص وجود 29 نقطة ضعف في Java 7 إلى Oracle في أبريل ، بما في ذلك الاثنين اللذان يتم استغلالهما بشكل نشط من قبل المهاجمين.

تمت مصاحبة التقارير بما مجموعه 16 دليل من-بغية دراسته واقراره pt exploits التي ضمت هذه الثغرات لتجاوز رمل Java بشكل كامل وتنفيذ تعليمات برمجية عشوائية على النظام الأساسي.

إزالة أساليب getField و getMethod من تطبيق sun.awt.SunToolkit class في Java 7 Update 7 قال جودياك: "ومع ذلك ، حدث هذا فقط بسبب إزالة" ناقل الاستغلال "، وليس لأن جميع نقاط الضعف التي استهدفتها المآثر تم تصحيحها."

اكتشف الضعف الجديد من قبل الأمن. يمكن دمج الاستكشافات في Java 7 Update 7 مع بعض نقاط الضعف التي لم يتم إرساؤها من قبل Oracle لتحقيق تجاوز كامل لـ JVM sandbox ، مرة أخرى.

"بمجرد أن وجدنا أن رموز تحويل رملي Java الكاملة الخاصة بنا قد توقفت عن العمل بعد تطبيق التحديث ، نظرت مرة أخرى في رموز POC وبدأت بالتفكير في الطرق الممكنة لكيفية كسر أحدث تحديثات جافا مرة أخرى "، قال جوديك. "جاءت فكرة جديدة ، وتم التحقق منها وتبين أنها كانت كذلك."

لا يعرف Gowdiak عندما تخطط أوراكل لمعالجة نقاط الضعف المتبقية التي تم الإبلاغ عنها بواسطة Explorations الأمنية في أبريل أو الجديدة التي قدمتها شركة الأمن يوم الجمعة.

ليس من الواضح ما إذا كانت Oracle ستصدر تحديث أمان Java جديدًا في أكتوبر كما خططت من قبل. ولم تورد الشركة على الفور طلبًا للحصول على تعليق.

حذر الباحثون في مجال الأمن دائمًا من أنه إذا استغرق البائعون الكثير من الوقت للتعامل مع نقطة ضعف تم الإبلاغ عنها ، فقد يكتشفها الأشرار في هذه الأثناء ، إذا لم يكونوا يعرفون بالفعل وقد حدث ذلك في مناسبات متعددة لباحثين مختلفين للكشف عن الثغرات نفسها في نفس المنتج بشكل مستقل وهذا ما قد يحدث أيضًا في حالة نقطتي جافا المستغلين بشكل فعال والتي تم تناولها بواسطة Java 7 Update 7.

"لا يمكن أبدا استبعاد الاكتشافات المستقلة" ، قال جودياك. "قد تكون هذه المشكلة المحددة [الثغرة الجديدة] أكثر صعوبةً في العثور عليها."

واستنادًا إلى تجربة الباحثين في مجال الاستكشافات الأمنية التي تتعامل مع البحث عن نقاط الضعف في جافا حتى الآن ، فإن جافا 6 لديها أمن أفضل من جافا 7. "لقد كان جافا 7 أسهل بكثير بالنسبة لنا لكسر ،" قال جوديك. "بالنسبة لـ Java 6 ، لم ننجح في التوصل إلى تسوية كاملة في وضع الحماية ، باستثناء المشكلة التي تم اكتشافها في Apple Quicktime لبرنامج Java."

ردد Gowdiak ما قاله العديد من الباحثين الأمنيين من قبل: إذا لم تكن بحاجة Java ، قم بإزالته من نظامك.