Luka w Javie, czyli trojany zamiast tekstów piosenek

Pojawiły się pierwsze próby wykorzystania z poziomu stron WWW ujawnionej pod koniec zeszłego tygodnia luki w komponencie Java Web Start w celu zainfekowania komputerów internautów używających Windows – ostrzega w firmowym blogu dostawca antywirusów AVG. Wśród wspomnianych witryn jest między innymi popularna platforma songlyrics.com, z której można pobierać teksty najnowszych piosenek. Najprawdopodobniej cyberprzestępcy zdyskredytowali stronę i umieścili w jej strukturze własny kod, który ładuje szkodliwe oprogramowanie z rosyjskiego serwera WWW.

Luka w Javie, czyli trojany zamiast tekstów piosenek
1

Pojawiły się pierwsze próby wykorzystania z poziomu stron WWW ujawnionej pod koniec zeszłego tygodnia luki w komponencie Java Web Start w celu zainfekowania komputerów internautów używających Windows - ostrzega w firmowym blogu dostawca antywirusów AVG. Wśród wspomnianych witryn jest między innymi popularna platforma songlyrics.com, z której można pobierać teksty najnowszych piosenek. Najprawdopodobniej cyberprzestępcy zdyskredytowali stronę i umieścili w jej strukturze własny kod, który ładuje szkodliwe oprogramowanie z rosyjskiego serwera WWW.

Problem

Błąd w Javie polega na niedostatecznym filtrowaniu łańcuchów URL. W efekcie za pośrednictwem spreparowanych URL-i możliwe jest przekazanie do komponentu Java Web Start parametrów, które pozwalają na uruchamianie lokalnych aplikacji. W ten sposób daje się również załadować i wykonać kod z Sieci. Usterka dotyczy nie tylko Windows, ale także systemów uniksowych. Natomiast w Javie dla Mac OS-a X opisywany błąd podobno nie występuje.

Obraz
© (fot. Jupiterimages)

Zagrożenie

Według analiz serwisu Wepawet napastnicy starają się wykorzystać nie tylko lukę w Javie, ale także słabe punkty Adobe Readera. Firma Adobe dopiero wczoraj zamknęła 1. luk w Readerze, wydając aktualizację oprogramowania do wersji 9.3.2.

Rozwiązanie

Również dla Javy jest już gotowe rozwiązanie. Oracle opublikował pakiet Java 6 Update 20, w którym rzekomo wyeliminowano problem. Po zainstalowaniu nowej wersji Javy przynajmniej exploit upubliczniony przez Tavisa Ormandy'ego nie działał już w Internet Explorerze i Firefoksie. Była to zadziwiająco szybka reakcja Oracle'a. Jeszcze w piątek Ormandy poinformował, że producent uznał usterkę za niewystarczająco krytyczną, aby wydawać dlań awaryjną łatę poza trzymiesięcznym cyklem aktualizacyjnym. Co prawda koncern przygotował wczoraj swój kwartalny Critical Patch Update, ale nie wspomina nic o Javie.

Oracle nie podaje w dokumentacji Release Notes dla pakietu Java 6 Update 2. żadnych konkretów na temat tego, co zostało załatane. Na pierwszy rzut oka wygląda to raczej tak, jakby starano się całkowicie uniemożliwić ładowanie wadliwych komponentów w przeglądarce zamiast faktycznie zamknąć lukę.

Obejście

Okazuje się, że nie w każdych warunkach aktualizacja Javy zapobiega działaniu wspomnianego exploita. Przyczyny tego są na razie nieznane. Jednak w przypadku Internet Explorera wciąż można ustawić killbit dla odpowiedzialnej za tę sytuację kontrolki ActiveX, na przykład zapisując poniższy tekst w pliku kill.reg i dwukrotnie klikając jego ikonę:

Windows Registry Editor Version 5.00
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400

W przypadku Firefoksa wystarczy w menu Narzędzia | Dodatki | Wtyczki wyłączyć wszystkie moduły związane z komponentem Java Deployment Toolkit.

wydanie internetowe www.heise-online.pl

1

Wybrane dla Ciebie

Polska chce wypowiedzieć Traktat Ottawski. Ustawę czeka pierwsze czytanie
Polska chce wypowiedzieć Traktat Ottawski. Ustawę czeka pierwsze czytanie
Produkcja czołgów wraca do Polski. Przemysł odzyskuje utracone kompetencje
Produkcja czołgów wraca do Polski. Przemysł odzyskuje utracone kompetencje
Spowiedź Ukraińca. Część rannych żyje dzięki robotom
Spowiedź Ukraińca. Część rannych żyje dzięki robotom
Pierwszy taki widok w szeregach Rosjan. To jasny sygnał dla świata
Pierwszy taki widok w szeregach Rosjan. To jasny sygnał dla świata
Rosjanie ukryli czołg. Ukraińcy znaleźli na niego sposób
Rosjanie ukryli czołg. Ukraińcy znaleźli na niego sposób
Sąsiad Rosji z wyjątkowymi F-35. Nikt inny takich nie ma
Sąsiad Rosji z wyjątkowymi F-35. Nikt inny takich nie ma
Ukraińcy zbadali drony Rosjan. Tego jeszcze nie widzieli
Ukraińcy zbadali drony Rosjan. Tego jeszcze nie widzieli
Potęga pancerna Europy. Ponad 2 tys. czołgów, a ciągle im mało
Potęga pancerna Europy. Ponad 2 tys. czołgów, a ciągle im mało
Francuzi korzystają z taktyki Rosjan. Tak uderzyli w zagrożenie
Francuzi korzystają z taktyki Rosjan. Tak uderzyli w zagrożenie
Niepokojące ruchy Rosjan. "Niedźwiedzie" zmieniły lokalizację
Niepokojące ruchy Rosjan. "Niedźwiedzie" zmieniły lokalizację
Zaplanowali wielką paradę z abramsami. Zapomnieli o jednym
Zaplanowali wielką paradę z abramsami. Zapomnieli o jednym
Modernizacji nad Adriatykiem ciąg dalszy. Czas na CAESAR-y i SAMP/T
Modernizacji nad Adriatykiem ciąg dalszy. Czas na CAESAR-y i SAMP/T