Ricercatori: Grave difetto in Java Runtime Environment per desktop, server

I cacciatori di vulnerabilità Java della società di ricerche di sicurezza polacca Security Explorations affermano di aver trovato una nuova vulnerabilità che colpisce le ultime versioni desktop e server di Java Runtime Environment (JRE).

La vulnerabilità si trova nel componente Java Reflection API e può essere utilizzata per bypassare completamente la sandbox di sicurezza Java ed eseguire codice arbitrario sui computer, ha dichiarato Adam Gowdiak, CEO di Security Explorations una mail inviata alla mailing list di Full Disclosure. Il problema riguarda tutte le versioni di Java 7, incluso Java 7 Update 21 rilasciato da Oracle lo scorso martedì e il nuovo pacchetto JRE Server rilasciato allo stesso tempo, ha detto.

Come suggerisce il nome, il Server JRE è una versione di Java Runtime Environment progettato per le distribuzioni del server Java. Secondo Oracle, il server JRE non contiene il plug-in del browser Java, un target frequente per exploit basati sul Web, il componente di aggiornamento automatico o il programma di installazione trovato nel pacchetto JRE regolare.

[Ulteriori letture: How per rimuovere malware dal PC Windows]

Sebbene Oracle sia consapevole del fatto che le vulnerabilità Java possono essere sfruttate anche sulle distribuzioni server fornendo input dannosi alle API (interfacce di programmazione delle applicazioni) in componenti vulnerabili, il suo messaggio è stato generalmente la maggior parte di Java le vulnerabilità interessano solo il plug-in del browser Java o che gli scenari di sfruttamento dei difetti Java sui server sono improbabili, Gowdiak ha dichiarato martedì via email.

"Abbiamo cercato di rendere gli utenti consapevoli che le affermazioni di Oracle non erano corrette rispetto all'impatto di Java Vulnerabilità SE ", ha detto Gowdiak. "Abbiamo dimostrato che i bug valutati da Oracle che interessano solo il plug-in Java potrebbero influenzare anche i server."

In febbraio, Security Explorations ha pubblicato un exploit proof-of-concept per una vulnerabilità Java classificata come plug-in basato su quello che avrebbe potuto essere usato per attaccare Java sui server usando il protocollo RMI (remote method invocation), ha detto Gowdiak. Oracle ha affrontato il vettore di attacco RMI nell'aggiornamento Java la scorsa settimana, ma esistono altri metodi per attaccare le distribuzioni Java sui server, ha detto.

I ricercatori di Security Explorations non hanno verificato lo sfruttamento della nuova vulnerabilità trovata contro il server JRE, ma hanno elencato le API e i componenti Java noti che potrebbero essere utilizzati per caricare o eseguire codice Java non attendibile sui server.

Se esiste un vettore di attacco in uno dei componenti menzionati nella linea guida 3-8 di Oracle "Linee guida di codifica sicura per Java Linguaggio di programmazione: "Le installazioni di server Java possono essere attaccate attraverso una vulnerabilità come quella riportata lunedì a Oracle", ha detto Gowdiak.

Il ricercatore ha contestato il modo in cui l'API Reflection è stata implementata e verificata per problemi di sicurezza in Java 7, perché il componente è stata la fonte di molteplici vulnerabilità finora. "L'API Reflection non si adatta molto bene al modello di sicurezza Java e, se usato in modo improprio, può facilmente portare a problemi di sicurezza", ha detto.

Questo nuovo difetto è un tipico esempio di debolezza dell'API di Reflection, ha detto Gowdiak. Questa vulnerabilità non dovrebbe essere presente nel codice Java 7 un anno dopo che un problema di sicurezza generico relativo all'API di Reflection è stato segnalato a Oracle da Security Explorations, ha affermato.