Nastavljaju se problemi s Javom

Oracle se, pod pritiskom kritika radi brojnih ranjivosti Jave, obvezao da će brže izdavati zakrpe. U nedavnom smo članku spomenuli da je 13. siječnja izašao Java 7 update 11 koji rješava ranije otkrivene greške. Nedugo zatim izlazile su nove zakrpe, da bi 19. veljače došli do verzije Java 7 update 15.

U međuvremenu su kao žrtve propusta u Javi pale ugledne tvrtke poput Applea, gdje je nekoliko računala hakirano pomoću Java exploita, Microsofta i Facebooka.

Nakon izlaska verzije 7u15 Adam Gowdiak iz tvrtke Security Explorations, koji se izgleda specijalizirao za istraživanje Jave, javlja da je otkrio dvije nove ranjivosti. Iako javnosti nije otkrio detalje, dajući Oracleu vremena da ispravi pogreške, ustvrdio je da se kombiniranjem tih dviju ranjivosti može probiti zaštićena sandbox okolina u kojoj se izvršavaju Java aplikacije. Povijest Gowdiakovih istraživanja Jave i njegovih odnosa s Oracleom možete pogledati na stranici tvrtke Security Explorations.

Osim Gowdiaka javljaju se i drugi specijalisti za sigurnost, na primjer istraživači iz tvrtke FireEye koji na svom blogu opsuju detalje jednog drugačijeg napada, koji se oslanja na prepisivanje memorije. 

Nakon brojnih apela da se korisnici odreknu podrške za Javu u preglednicima, sve se češće iznosi uvjerenje da bi Javu trebalo isprogramirati od početka, na sigurnijim temeljima.

I što sada? Najjednostavnije bi bilo isključiti Java plug-in u preglednicima, no to si ne mogu svi priuštiti jer bi na taj način izgubili pristup brojnim siteovima koji ne rade bez Jave, na primjer web bankarstvu.

Utješna vijest je stigla u zadnji čas prije objavljivanja ovog članka: Oracle je jučer objavio novu verziju, Java 7 update 17 (update 16 je preskočen) i posljednju verziju starog izdanja Java 6 update 42, najavivši ujedno prestanak podrške za Javu 6. Riješene su ranjivosti prijavljene kao CVE-2013-1493 i CVE-2013-0809, a pogađaju Java plug-in u preglednicima. Ovim ranjivostima nisu podložne Java aplikacije koja se izvršavaju na serverima i samostalne Java aplikacije na korisničkim računalima, kao ni embedded aplikacije.

Priopćenje Oracla dostupno je na njihovu blogu.

U ovom trenutku nije posve jasno da li su ovime zakrpane i ranjivosti koje je otkrio Gowdiak. Ako nisu, vjerojatno uskoro možemo očekivati novi update. Do tada, ako ne možete bez Jave u pregledniku, hitno treba instalirati trenutnu inačicu, Java 7u17.

Kategorije: 
Vote: 
0
No votes yet