Java päästää hyökkääjät koneelle – päivitä heti
7
Viestintäviraston Cert-fi-yksikkö varoittaa, että Sun Java -ohjelmistossa on paljastunut monia tietoturva-aukkoja, joista vaarallisimpia hyväksi käyttäen rikolliset voivat päästä ajamaan koodiaan uhrin koneessa sekä palvelin- että työasemaympäristöissä.
Haavoittuvuuksia on useita, mutta ohjelmiin on julkaistu korjauspäivitykset. Päivityksen vaativat ohjelmistot ovat Sun Java JDK ja JRE versio 6 Update 16 sekä vanhemmat julkaisut, Sun Java JDK ja JRE versio 5.0 Update 21 sekä aiemmat julkaisut, Sun Java SDK ja JRE versio 1.4.2_23 (ja vanhemmat) ja viimeisenä Sun Java SDK ja JRE versio 1.3.1_26 sekä vanhemmat julkaisut.
Sunin mukaan ainakin osa haavoittuvuuksista koskee niin Linux- ja Solaris- kuin Windows-järjestelmiä.
Korjaukset ovat näiden ohjelmistojen seuraavissa versioissa, esimerkiksi JDK:n ja JRE versiossa 6 Update 17 ja Sun Java JDK:n ja JRE:n versiossa 5 Update 22.
Asiassa helpottaa se, että Java-ohjelmisto yleensä lataa automattisesti päivitykset, jos ominaisuus on vain sallittu.
Useita vakavia haavoittuvuuksia
Yksi haavoittuvuus aiheutuu siitä, että virheet der-koodatun tiedon ja http-otsaketietojen käsittelyssä voivat saada aikaan muistin loppumisen Java Runtime -moottorissa, mikä puolestaan aiheuttaa palvelunestotilanteen (dos).
Viestien allekirjoitusten käsittelyn virhe taas voi päästää hyökkääjän ohittamaan käyttäjätunnistuksen väärennetyllä digitaalisella allekirjoituksella.
Java Web Start Installer -ohjelman virheen takia epäluotettavaa Java Web Start -sovellusta voi päästä ajamaan luotettavana sovelluksena. Näin hyökkääjä pääsee ajamaan haluamaansa ohjelmakoodia.
Java Runtime Environment Deployment Toolkit -ohjelmavirheen takia hyökkääjä voi päästä ajamaan koodiaan web-sivujen kautta, jotka on suunniteltu hyökkäystä varten.
Java Runtime Environment Java Update -mekanismin ongelman vuoksi JRE ei päivity kuin englanninkielisissä Windows-versioissa.
Lisäksi ääni- tai kuvatiedostoja voi käyttää hyväksi käyttöoikeuksien kaappaamiseen ja hyökkääjän ohjelmakoodin ajamiseen. Myös tiedostojen lukeminen ja kirjoittaminen uhrikoneessa ovat mahdollisia uhkia Java Web Start -sovelluksen virheen takia.
Lisätietoa haavoittuvuuksista ja kootut linkit Sunin tietoturvatiedotteisiin ovat Cert-fi:n haavoittuvuustiedotteessa.
