Alvorlig Java-feil enkel å utnytte

Alvorlig Java-feil enkel å utnytte

Kritisk sårbarhet i Java Web Start blir ikke fikset før i juli.

Tavis Ormandy, sikkerhetsforsker hos Google, og Ruben Santamarta fra Wintercore har publisert to uavhengige sikkerhetsvarsler for en kritisk sårbarhet i rammeverket Java Web Start, skriver Telenors sikkerhetssenter.

Svakheten gjelder manglende validering av parametre til javaws.exe som gjør det mulig å eksekvere vilkårlige .jar-filer uten restriksjoner, og i tillegg laste vilkårlige .dll-filer.

Svakheten er relativt enkel å utnytte, og det er i tillegg publisert eksempelkode som viser hvordan dette gjøres. Angrepet fører til at hackere kan kjøre uautoriserte Java-programmer på offerets pc.

Rammer Windows

Sårbarheten omfatter alle versjoner siden Java SE 6.10 og rammer alle Windows-versjoner. Det er usikkert hvorvidt feilen rammer Linux, og andre operativsystemer skal ikke være utsatt.

Sun har blitt varslet angående svakheten, men ønsker ikke å rette svakheten utenfor den vanlige kvartalsvise sikkerhetsoppdateringen.

Lappes ikke

Selskapet lanserte en større Java-oppgradering forrige uke, og neste lappesak er ikke ventet før i juli.

- De mener at sårbarheten ikke er kritisk nok å omgå sin kvartalsvise oppdateringssyklus. Jeg er uenig, skriver Ormandy i et blogginnlegg.

Han anbefaler midlertidig å sette killbit for ActiveX-komponenten for IE, og for Firefox anbefales det å begrense tilgangen til npdeploytk.dll.