Tietoturva

Sun Javassa on aukko

Julkaistu:

Viestintäviraston tietoturvaryhmän mukaan Sun Microsystemsin Java Web Start -ohjelmistosta on löytynyt vakava haavoittuvuus. Sun Javaa käytetään useissa selaimissa. Cert-fi huomauttaa, että haavoittuvuuden hyväksikäyttö onnistuu myös Unix- ja Linux-järjestelmissä.
Java Web Start asentuu yhdessä Java Runtime Environment -ohjelmiston kanssa. JWS:n avulla käyttäjä voi helposti suorittaa www-sivun kautta Java-sovelluksia.

Cert-fi:n mukaan JWS:n haavoittuvuus liittyy tiettyjen jnlp (java network launch protocol) -tiedoston sisältämien parametrien virheelliseen käsittelyyn.

- Haavoittuvuuden avulla Java-virtuaalikoneelle voidaan syöttää turvapolitiikkaan liittyviä parametreja, ja Java Web Startin käynnistämä ohjelmisto voidaan suorittaa näillä parametreilla, Cert-fi selventää.

Hyökkääjä voi suorittaa omia komentojaan haavoittuvuuden avulla ja ohittaa Javan Sandbox-suojamekanismin. Aukon hyödyntäminen onnistuu, jos käyttäjä avaa vihamielisen www-sivun, Cert-fi varoittelee.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Haavoittuvuuden löysi suomalainen tietoturvakonsultti Jouko Pynnönen. Hän ilmoitti aukosta Sun Microsystemsille syykuussa 2004.

Pynnösen varoituksen mukaan Java Web Start -ohjelmistot J2SE 1.4.2-versioissa ennen 1.4.2_07:ää ovat haavoittuvia. J2SE 5.0 ja myöhemmät, ja 1.4.2:ta aiemmat versiot eivät ole alttiita tälle haavoittuvuudelle.

Java-version selvittäminen onnistuu esimerkiksi osoitteessa http://javatester.org/version.html

Kommentit

    Näytä lisää