In che modo Java 7 update 11 corregge la vulnerabilità della sicurezza?

3

C'è un nuovo Java rilasciato un paio di giorni fa per risolvere un buco scoperto di recente.
( Oracle , US-CERT , NVD / NIST )

Nella mia lettura iniziale di questo aggiornamento 11, ho visto chiaramente dove, per impostazione predefinita, disabilitava parzialmente la funzionalità run-without-ask, ma non vedevo dove stava effettivamente risolvendo il problema sottostante. Quindi, le seguenti informazioni sono corrette?

  • La vulnerabilità sulla sandbox Java si trova sia in 7u10 che in 7u11?
  • Ho ragione che questo è quasi esclusivamente un problema con il plug-in Java (navigazione web con Java abilitato), ma ha delle conseguenze in alcune applicazioni generalmente sconosciute che fanno uso della sandbox.
  • È vero che l'unico modo per aggirare il problema è quello di impedire l'esecuzione di codice che non ti fidi. (disabilitare Java o regolare per chiedere sempre prima di eseguire applet)
  • È vero che l'unica differenza rilevante tra 7u10 e 7u11 è che invece di (di default) eseguire le applet senza chiedere, Java 7u11 chiederà all'utente prima di eseguire applet senza firma, pur rimanendo per eseguire app firmate senza chiedere. Quale potrebbe significare che le app firmate possono ancora essere utilizzate per sfruttare la vulnerabilità?
posta George Bailey 15.01.2013 - 21:39
fonte

2 risposte

1

Grazie a @Ramhound per i tuoi commenti.

  • US CERT ti suggerisce ancora di disabilitare Java nel tuo browser anche con l'aggiornamento 11 installato.

  • Mentre Update 11 risolve una vulnerabilità, Si dice che Java 7 Update 11 è ancora vulnerabile a un altro 0 giorni . Questo non è stato dimostrato. Ciò che è stato trovato è stata un'offerta di vendere codice di exploit, senza alcun accenno a come funziona. (o prova che funziona davvero)

  • Modifica: conferma della vulnerabilità esistente nell'Aggiornamento 11: link

Raccomandazioni:

  • Mantieni sempre aggiornato Java,

  • Configura il tuo sistema in modo che ti chieda sempre prima di eseguire Java e approva solo se ti fidi dell'autore.

  • Scopri la differenza tra l'approvazione dell'applet Java per l'esecuzione in una sandbox (che funziona effettivamente la maggior parte del tempo) e l'approvazione di un'applet Java da eseguire con accesso completo al tuo computer.

risposta data 17.01.2013 - 20:22
fonte
6

L'articolo CNET collegato fa riferimento a CVE-2013-0422 " Vulnerabilità di bypass di Oracle Java 7 Security Manager " ( Oracle , Stati Uniti -CERT , NVD / NIST ). Dal link Oracle: "Versioni e versioni del prodotto interessate: JDK e JRE 7 Aggiornamento 10 e precedenti ".

  • "La vulnerabilità sulla sandbox Java esiste sia in 7u10 sia in 7u11" non è corretto. 7u10 è vulnerabile. 7u11 non lo è. Le note sull'aggiornamento suggeriscono che il bug è stato corretto con le modifiche al codice , non semplicemente cambiando il livello di sicurezza predefinito come sembra implicare nel tuo punto elenco finale.

  • I plugin del browser Java sono molto problematici perché consentono attacchi di tipo drive-by contro sistemi vulnerabili. Basta visitare a URL ostile e la macchina è compromessa - nessun download, nessun avviso dialogo. Ecco un video che dimostra un attacco . Forse ci sono altri vettori di attacco, ma il browser lo è il più importante di gran lunga.

  • Correggi - l'unico modo per essere sicuri è di impedire ai browser di chiamare Java (disabilitando gli helper del browser o disinstallando Java del tutto)

  • La differenza tra 7u10 e 7u11 è descritta nella Oracle Note sulla versione dell'aggiornamento . Riassunto:

This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422. In addition, the following change has been made: Default Security Level Setting Changed to High

    
risposta data 15.01.2013 - 22:35
fonte

Leggi altre domande sui tag