(Bilde: Oracle)

Java-sikkerhet

Tre år gammel Java-sårbarhet ble aldri skikkelig fjernet

Fornyet angrepskode er allerede offentliggjort.

Selv om det ikke like ofte som tidligere oppdages sårbarheter i Java-nettleserpluginen, så er det fortsatt all grunn til å deaktivere eller avinstallere den helt, dersom man ikke jevnlig bruker den.

Nå viser det seg at en sårbarhet som Oracle skulle ha fjernet fra Java-plattformen for flere år siden, likevel er tilstede. Sårbarheten må bare angripes på en litt annen måte.

Alle detaljer

Det polske Security Explorations, som for noen år siden fant en rekke alvorlige sårbarheter i Java, som nå har oppdaget også denne svakheten.

Selskapet har nå gått ut med alle detaljer om sårbarheten og hvordan den kan utnyttes, noe som skyldes at det nettopp har tatt i bruk en ny policy som innebærer at det ikke vil vente med å offentliggjøre informasjon om mislykkede sikkerhetsfikser.

Sårbarheten det er snakk om, ble forsøkt fjernet av Oracle i september 2013. Alt som behøves for å få angrepskoden fra 2013 til å fungere, er å endre fire tegn i den, samt å benytte en webserver som gir en 404-feil når den spørres om en gikk Java-klasse for første gang.

Sandkassen

Sårbarheten gjør det ifølge Security Explorations mulig å unnslippe sikkerhetssandkassen til Java og å få full tilgang til det eksterne systemet.

Sårbarheten berører i alle fall de nyeste utgavene av Java 7 og 9, samt testutgaver av Java 9.

Så langt er det ingenting som tyder på at sårbarheten brukes i aktive angrep, men trolig er det bare et tidsspørsmål før det vil skje.

Til toppen