Macin java-aukko päästää hyökkääjät sisään
0
Java-asetuksia hallitaan Mac OS:ssä java-asetus-valikon kautta järjestelmän asetuksissa.
Yhdysvaltain ja Suomen Cert-tietoturvaviranomaiset varoittavat vakavista haavoittuvuuksista Macin javassa, jotka mahdollistavat pahimmillaan hyökkääjän koodin ajamisen Mac-koneessa. Vakavimpiin haavoittuvuuksiin ei ole saatavana korjausta. Hyökkäyskoodit ovat viranomaisten mukaan saatavana netissä.
Haavoittuvuudet ovat Applen tuottamassa java-ajoympäristössä Java for Mac:ssä käyttöjärjestelmän versioissa OS X 10.4 ja OS X 10.5. Tietoturvayhtiö Secunian mukaan haavoittuvuus koskee myös uusinta Mac OS X 10.5.7 -julkaisua.
Macin java-laajennukset ovat tällä hetkellä Sunin javan pääversioiden 1.6.0_07, 1.5.0_16 ja 1.4.2_18 tasolla päivityksissä. Javassa on korjattu yksittäisiä haavoittuvuuksia Java for Mac OS X 10.5 Update 3- ja Java for Mac OS X 10.4 Release 8 -päivitysten yhteydessä. Vakavimmat korjaamattomat haavoittuvuudet voivat päästää hyökkääjän ajamaan haluamaansa koodia uhrin koneessa.
Secunia on luokitellut korjaamattomat haavoittuvuudet hyvin kriittisiksi.
Hyökkäys voidaan aktivoida houkuttelemalla käyttäjä ajamaan java-sovellus tai surffaamaan web-sivustolle, jossa on java-aukkoa hyödyntävä koodi.
Koska korjausta ei ole saatavana, haavoittuvuuksista voi Cert-fi.n mukaan suojautua vain estämällä javan ajaminen selaimessa.
