Flere sikkerhetsforskere melder om en til nå ukjent sårbarhet i Java Web Start (javaws), som følger med Java SE Runtime Environment (JRE).
Java Web Start gjør det mulig for Java-utviklere å tilby brukere URL-er som gjør det enkel for brukerne å installere og kjøre utviklerens Java-applikasjoner. URL-en leder til en til en Java Networking Launching Protocol-fil (.jnlp) som ved hjelp av XML beskriver programmet.
Ifølge Google-ansatte Tavis Ormandy er valideringen av URL-parameteren i Java Deployment Toolkit, som også følger med JRE, temmelig minimal. Dette gjør det mulig å sende vilkårlige parametere til javaws-verktøyet. Blant annet kan man få verktøyet til å laste for eksempel en JAR-fil fra et egnet sted på maskinen eller lokalnettet. Dette skal potensielt kunne gi en angriper full tilgang til systemet, i alle fall med samme privilegier som det brukeren selv har.
Ormandy skal ha varslet Sun om sårbarheten, men selskapet skal ha svart at det ikke anser sårbarheten som alvorlig nok til å komme med en framskyndet sikkerhetsoppdatering.
Omandy mener på sin side at alle, bortsett fra Sun, er tjent med at informasjonen om sårbarheten gjøres tilgjengelig, og inkluderer et kodeeksempel som beskriver hvordan sårbarheten kan utnyttes.
Sårbarheten skal kun berøre Windows-utgave av JRE. Omandy beskriver i sitt innlegg hvordan brukere av Internet Explorer og Firefox kan deaktivere tilgangen til Java Web Start. Det skal ikke være tilstrekkelig å deaktivere selve nettleser-pluginen.
Sårbarheten skal finnes i Java SE 6 update 10 og nyere.
Sikkerhetsselskapet Secunia karakteriserer sårbarheten som høyst kritisk.
Les også:
- [16.04.2010] Last ned Java-oppdatering nå
- [15.04.2010] Angrep Java-brukere via populær nettsted
- [31.03.2010] Kritiske oppdateringer til vanlige plugins
