Pesquisadores: falhas graves no Java Runtime Environment para desktops, servidores

Os caçadores de vulnerabilidades Java da empresa de pesquisa de segurança polonesa Security Explorations afirmam ter encontrado uma nova vulnerabilidade que afeta as versões mais recentes de desktop e servidor. O Java Runtime Environment (JRE).

A vulnerabilidade está localizada no componente Reflection API do Java e pode ser usada para ignorar completamente a sandbox de segurança Java e executar código arbitrário em computadores, afirmou Adam Gowdiak, CEO da Security Explorations. um email enviado para a lista de discussão Full Disclosure. A falha afeta todas as versões do Java 7, incluindo o Java 7 Update 21 lançado pela Oracle na última terça-feira e o novo pacote do servidor JRE lançado ao mesmo tempo, disse ele.

Como o nome sugere, o servidor JRE é uma versão do Java Runtime Environment projetado para implementações de servidor Java. Segundo a Oracle, o servidor JRE não contém o plug-in do navegador Java, um alvo frequente para explorações baseadas na Web, o componente de atualização automática ou o instalador encontrado no pacote regular do JRE.

[Outras leituras: How para remover malware do seu PC com Windows]

Embora a Oracle esteja ciente de que as vulnerabilidades do Java também podem ser exploradas em implantações de servidores fornecendo insumos maliciosos a APIs (interfaces de programação de aplicativos) em componentes vulneráveis, sua mensagem geralmente indica que a maioria deles vulnerabilidades afetam apenas o plug-in do navegador Java ou que os cenários de exploração para falhas Java em servidores são improváveis, disse Gowdiak terça-feira via email.

“Nós tentamos conscientizar os usuários que as alegações da Oracle estavam incorretas com relação ao impacto do Java Vulnerabilidades SE ”, disse Gowdiak. “Provamos que os bugs avaliados pela Oracle como afetando apenas o plug-in Java também podem afetar os servidores.”

Em fevereiro, a Security Explorations publicou uma exploração de prova de conceito para uma vulnerabilidade Java classificada como plug-in. baseado que poderia ter sido usado para atacar Java em servidores usando o protocolo RMI (Remote Method Invocation), disse Gowdiak. A Oracle abordou o vetor de ataque RMI na atualização Java na semana passada, mas existem outros métodos para atacar implementações Java em servidores, disse ele.

Os pesquisadores do Explorations de segurança não verificaram a exploração bem-sucedida da nova vulnerabilidade encontrada contra o Server JRE. mas eles listaram APIs e componentes Java conhecidos que poderiam ser usados ​​para carregar ou executar código Java não confiável em servidores.

Se existir um vetor de ataque em um dos componentes mencionados na Diretriz 3-8 das Diretrizes de Codificação Segura para um Java da Oracle Linguagem de programação ”, as implantações de servidores Java podem ser atacadas por uma vulnerabilidade como a reportada na segunda-feira à Oracle, disse Gowdiak.

O pesquisador questionou a forma como a Reflection API foi implementada e auditada para problemas de segurança no Java 7, porque o componente tem sido a fonte de múltiplas vulnerabilidades até agora. "A Reflection API não se encaixa muito bem no modelo de segurança Java e, se usada de maneira inadequada, pode facilmente levar a problemas de segurança", disse ele.

Essa nova falha é um exemplo típico de fraqueza da Reflection API, disse Gowdiak. Esta vulnerabilidade não deveria estar presente no código Java 7 um ano depois que um problema de segurança genérico relacionado à Reflection API foi relatado ao Oracle pela Security Explorations, disse ele.