Java - Desktop class tasks
Pemburu kerentanan Java dari firma penyelidikan keselamatan Poland. Penjelajahan Keselamatan mendakwa telah menjumpai kerentanan baru yang mempengaruhi versi desktop dan pelayan terkini Persekitaran Runtime Java (JRE).
Kerentanan ini terletak pada komponen API Refleksi Java dan boleh digunakan untuk melangkau sepenuhnya kotak pasir keselamatan Jawa dan melaksanakan kod sewenang-wenangnya pada komputer, kata Adam Gowdiak, Ketua Pegawai Eksekutif Keselamatan Penjelajahan, hari ini. e-mel yang dihantar ke senarai mel Pendedahan Penuh. Kesilapan itu menjejaskan semua versi Java 7, termasuk Java 7 Update 21 yang dikeluarkan oleh Oracle pada Selasa lalu dan pakej JRE Server Server yang baru dikeluarkan pada masa yang sama, katanya.
Seperti namanya, JRE Server adalah versi daripada Alam Sekitar Runtime Java yang direka untuk penyebaran pelayan Java. Menurut Oracle, Server JRE tidak mengandungi pemalam penyemak imbas Java, sasaran yang kerap untuk eksploitasi berasaskan Web, komponen auto-update atau pemasang yang dijumpai dalam pakej JRE biasa.
[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]Walaupun Oracle menyedari kelemahan Java juga boleh dieksploitasi pada penggunaan pelayan dengan membekalkan input yang berniat jahat kepada API (antarmuka pengaturcaraan aplikasi) dalam komponen yang terdedah, mesejnya pada umumnya menjadi sebahagian besar Java kelemahan hanya memberi kesan pada pemalam penyemak imbas Java atau senario eksploitasi untuk kelemahan Java pada pelayan tidak mungkin, kata Gowdiak pada hari Selasa melalui e-mel.
"Kami cuba membuat pengguna sedar bahawa tuntutan Oracle tidak betul berkenaan dengan kesan Jawa SE kelemahan, "kata Gowdiak. "Kami membuktikan bahawa pepijat yang dinilai oleh Oracle kerana hanya mempengaruhi pemalam Java juga boleh menjejaskan pelayan."
Pada bulan Februari, Penjelajahan Keselamatan menerbitkan eksploitasi bukti-konsep untuk kelemahan Java yang dikelaskan sebagai plug-in- berdasarkan yang boleh digunakan untuk menyerang Java pada pelayan menggunakan protokol RMI (penyerahan kaedah jauh), kata Gowdiak. Oracle mengalamatkan vektor serangan RMI dalam kemas kini Java minggu lepas, tetapi kaedah lain menyerang penyebaran Java pada pelayan ada, katanya.
penyelidik Exploration Security tidak mengesahkan eksploitasi yang berjaya terhadap kerentanan baru yang mereka temukan terhadap Server JRE, tetapi mereka menyenaraikan API dan komponen Java yang diketahui yang boleh digunakan untuk memuatkan atau melaksanakan kod Java yang tidak dipercayai pada pelayan.
Jika vektor serangan wujud dalam salah satu komponen yang disebutkan dalam Garis Panduan 3-8 Oracle's "Panduan Pengekalan Selamat untuk Java Bahasa Pemrograman, "Pelaksanaan pelayan Java boleh diserang melalui kerentanan seperti yang dilaporkan Isnin ke Oracle, kata Gowdiak.
Penyelidik mengambil isu dengan cara API Refleksi dilaksanakan dan diaudit untuk masalah keselamatan di Java 7, kerana komponen telah menjadi sumber pelbagai kelemahan setakat ini. "API Refleksi tidak sesuai dengan model keselamatan Java dengan sangat baik dan jika digunakan secara tidak tepat, ia dapat dengan mudah membawa kepada masalah keselamatan," katanya.
Kesilapan baru ini adalah contoh tipikal kelemahan API Refleksi, kata Gowdiak. Kelemahan ini tidak sepatutnya terdapat dalam kod Java 7 setahun setelah masalah keselamatan generik yang berkaitan dengan API Refleksi dilaporkan kepada Oracle oleh Exploration Security, katanya
Kedua-dua syarikat juga mempunyai bidang yang sama dengan sokongan mereka untuk perisian Java, salah satu daripada hanya kawasan di mana garisan produk syarikat bertindih. Sun mempunyai pelayan aplikasi Java sumber terbuka yang dikenali sebagai Glassfish yang kemungkinan Oracle akan berpegang pada, walaupun nasib perisian Java komersial lain Sun, Sistem Enterprise Java (JES), tidak diketahui.
Oracle juga telah bertindih dalam bidang ini ketika ia dibeli BEA, tetapi BEA WebLogic mempunyai asas pemasangan yang ketara, dan Oracle menyimpan produk tersebut secara hidup. Pangkalan dipasang Sun untuk JES adalah lebih kecil, jadi Oracle boleh memilih untuk tidak memegangnya.
Microsoft menggunakan acara rakan kongsi untuk menunjukkan aplikasi Office Web, versi host Office suite, dan untuk mempromosikan penggunaan persekitaran "perisian plus perkhidmatan" hibrid - sesuatu yang telah ditolak untuk beberapa waktu - untuk pelanggan yang ingin beralih dari perisian premis ke arah beberapa perkhidmatan dalam talian.
Presiden Bahagian Perniagaan Microsoft, Stephen Elop memberitahu rakan-rakan pada pameran itu bahawa sembilan daripada 10 pelanggan mereka mahu menggunakan perkhidmatan yang dihoskan dalam Produktiviti Perniagaan Online (BPOS) Microsoft, tetapi pelanggan harus mempunyai pilihan antara membeli perisian atau perkhidmatan, atau menggunakan gabungan kedua-duanya.
Kesilapan Java yang baru ditambal yang sudah disasarkan dalam serangan besar-besaran, para penyelidik mengatakan
Oleh penjenayah siber dalam serangan besar-besaran untuk menjangkiti komputer dengan alat bantu jarum suntik, para penyelidik keselamatan memberi amaran.