Published on sys.portal (https://sysportal.carnet.hr)

Početna > Java: Isključiti je ili ne?

Java: Isključiti je ili ne?

U kolovozu prošle godine prenijeli smo apel stručnjaka za informacijsku sigurnost da se isključi podrška za Javu u preglednicima. Čini se da se povijest ponavlja, jer su u siječnju ove godine otkrivene ranjivosti nultog dana, prijavljene kao CVE-2013-0422 [1] i CVE-2012-3174 [2]. Na tržištu su se pojavili provalnički alati koji iskorištavaju te ranjivosti za eskalaciju privilegija bez provjere certifikata kojim je kod potpisan.

Oracle je požurio s prekorednim izdavanjem zakrpa, pa su ranjivosti uklonjene u nedelju, 13.siječnja, kada je objavljen Java 7 Update 11. Oracle apelira na korisnike da što prije instaliraju novu inačicu, jer su sve prethodne ranjive.

Vjerojatno je brzoj reakciji doprinijelo i priopćenje od 10. siječnja američkog CERT-a, koji djeluje kao dio Ministarstva domovinske sigurnosti, u kojem se preporučuje isključivanje podrške za javu u preglednicima.

Čini se da izdavanjem zakrpa ipak nije sve riješeno, jer sumnje u javu ostaju. Stručnjaci upozoravaju da Java 7 update 11 podiže zadanu razinu sigurnosti na "visoku", pa će korisnik dobiti upozorenje prije pokretanja java appleta koji nemaju potpis, ili su "samopotpisani". Mozilla je stavila javu na crnu listu "Click to play", također prepuštajući korisnicima odluku o tome hoće li pokrenuti sumnjive aplete.

Sumnjičavosti doprinosi i tvrdnja Adama Gowdiaka, osnivača poljske tvrtke Security Explorations, koji je otkrio i prijavio Oracleu brojne ranjivosti Jave, a koji smatra da Oracle neozbiljno i traljavo pristupa ispravljanju pogrešaka.

Dan nakon što je Oracle izdao novu verziju Jave, na crnom tržištu se pojavio novi 0-day exploit, koji se prodaje za 5000 $, kao što to na svom blogu [3] otkriva Brian Krebs, novinar koji se specijalizirao za informacijsku sigurnost.

Ako ste zabrinuti za sigurnost, isključite javu u svom pregledinku. No time ćete izgubiti pristup mnogim web sjedištima, a neka od njih su vam možda neophodna za obavljanje posla. Jedno od rješenja koje mnogi primjenjuju je korištenje dva različita preglednika, jednog s Javom za posjet provjerenim i poznatim sadržajima, a drugog bez Jave za nasumično surfanje mrežom.

Radoznalima i zainteresiranima za sigurnost preporučujemo da pročitaju upozorenje US-CERT-a [4], gdje će naći tehničke detalje i poveznice na stranice s dodatnim informacijama.

Povezani članci:

Apel stručnjaka za sigurnost: isključite javu u svojim preglednicima! [5]

sub, 2013-01-19 11:33 - Aco Dmitrović
Vote: 
3.833335
Vaša ocjena: Nema Average: 3.8 (6 votes)

Copyright ©2003.-2017. CARNet. Sva prava pridržana.
Mail to portal-team(at)CARNet.hr

Google+

Source URL: https://sysportal.carnet.hr/node/1185

Links
[1] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0422
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3174
[3] http://krebsonsecurity.com/2013/01/new-java-exploit-fetches-5000-per-buyer/
[4] http://www.kb.cert.org/vuls/id/625617
[5] https://sysportal.carnet.hr/node/1092