Luka w Javie, czyli trojany zamiast tekstów piosenek

Pojawiły się pierwsze próby wykorzystania z poziomu stron WWW ujawnionej pod koniec zeszłego tygodnia luki w komponencie Java Web Start w celu zainfekowania komputerów internautów używających Windows – ostrzega w firmowym blogu dostawca antywirusów AVG. Wśród wspomnianych witryn jest między innymi popularna platforma songlyrics.com, z której można pobierać teksty najnowszych piosenek. Najprawdopodobniej cyberprzestępcy zdyskredytowali stronę i umieścili w jej strukturze własny kod, który ładuje szkodliwe oprogramowanie z rosyjskiego serwera WWW.

Pojawiły się pierwsze próby wykorzystania z poziomu stron WWW ujawnionej pod koniec zeszłego tygodnia luki w komponencie Java Web Start w celu zainfekowania komputerów internautów używających Windows - ostrzega w firmowym blogu dostawca antywirusów AVG. Wśród wspomnianych witryn jest między innymi popularna platforma songlyrics.com, z której można pobierać teksty najnowszych piosenek. Najprawdopodobniej cyberprzestępcy zdyskredytowali stronę i umieścili w jej strukturze własny kod, który ładuje szkodliwe oprogramowanie z rosyjskiego serwera WWW.

Błąd w Javie polega na niedostatecznym filtrowaniu łańcuchów URL. W efekcie za pośrednictwem spreparowanych URL-i możliwe jest przekazanie do komponentu Java Web Start parametrów, które pozwalają na uruchamianie lokalnych aplikacji. W ten sposób daje się również załadować i wykonać kod z Sieci. Usterka dotyczy nie tylko Windows, ale także systemów uniksowych. Natomiast w Javie dla Mac OS-a X opisywany błąd podobno nie występuje.

Według analiz serwisu Wepawet napastnicy starają się wykorzystać nie tylko lukę w Javie, ale także słabe punkty Adobe Readera. Firma Adobe dopiero wczoraj zamknęła 1. luk w Readerze, wydając aktualizację oprogramowania do wersji 9.3.2.

Również dla Javy jest już gotowe rozwiązanie. Oracle opublikował pakiet Java 6 Update 20, w którym rzekomo wyeliminowano problem. Po zainstalowaniu nowej wersji Javy przynajmniej exploit upubliczniony przez Tavisa Ormandy'ego nie działał już w Internet Explorerze i Firefoksie. Była to zadziwiająco szybka reakcja Oracle'a. Jeszcze w piątek Ormandy poinformował, że producent uznał usterkę za niewystarczająco krytyczną, aby wydawać dlań awaryjną łatę poza trzymiesięcznym cyklem aktualizacyjnym. Co prawda koncern przygotował wczoraj swój kwartalny Critical Patch Update, ale nie wspomina nic o Javie.

Oracle nie podaje w dokumentacji Release Notes dla pakietu Java 6 Update 2. żadnych konkretów na temat tego, co zostało załatane. Na pierwszy rzut oka wygląda to raczej tak, jakby starano się całkowicie uniemożliwić ładowanie wadliwych komponentów w przeglądarce zamiast faktycznie zamknąć lukę.

Okazuje się, że nie w każdych warunkach aktualizacja Javy zapobiega działaniu wspomnianego exploita. Przyczyny tego są na razie nieznane. Jednak w przypadku Internet Explorera wciąż można ustawić killbit dla odpowiedzialnej za tę sytuację kontrolki ActiveX, na przykład zapisując poniższy tekst w pliku kill.reg i dwukrotnie klikając jego ikonę:

Windows Registry Editor Version 5.00
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400

W przypadku Firefoksa wystarczy w menu Narzędzia | Dodatki | Wtyczki wyłączyć wszystkie moduły związane z komponentem Java Deployment Toolkit.

wydanie internetowe www.heise-online.pl