Oracle закърпиха грешката в Java, експлоатирана от SSL BEAST атаката

Oracle пуснаха обновление за Java, поправящо няколко уязвимости, включително една, експлоатирана от наскоро разкритата атака, която позволява подслушването на криптирана комуникация. Миналия месец на конференцията за сигурност Ekoparty в Буенос Айрес, изследователите Джулиано Ризо и Тай Дуонг демонстрираха практически метод за прихващане на SSL и TLS трафик. Тяхната атака, наречена BEAST (Browser Exploit Against SSL/TLS), въздейства на отдавна известен теоретичен проблем, засягащ повечето от приложенията на SSL и TLS, които се използват в интернет за момента. За да извършат атаката, Ризо и Дуонг заобиколили правилото за ограничение на домейн - основен защитен механизъм, който не позволява на различни отворени сайтове да си взаимодействат - като се възползвали от уязвимост в Java. Идентифицирана като CVE-2011-3389, тази уязвимост почти принуди разработчиците на Firefox да забранят използването на Java в браузърите си след обявяването на BEAST. Но не се стигна до съгласие за подобно действие, понеже то би довело до спирането от употреба на много програми, особено в корпоративните среди, където Java се използва широко. Mozilla официално обяви във вторник, че блокирането на Java няма да се разисква за момента, особено след като Oracle закърпиха проблема. „За момента няма да блокираме уязвимите версии на Java, но ще продължим да следим за случаи на експлоатация на тази уязвимост“ съобщиха разработчиците на браузъра. Все пак трябва да се отбележи, че новата версия не предпазва изцяло от BEAST атаки, защото Java е само една от няколкото технологии, които на теория могат да се експлоатират за постигане на същия резултат. Единствената сигурна защита е прехвърлянето на интернет към TLS 1.1 - версия на протокола, която не е уязвима от подобни атаки и е достъпна от 2006 година. Но това решение не е нито лесно изпълнимо, нито може да се постигне в скоро време. Въпреки всичко, тази уязвимост на Java няма висок рисков рейтинг. Според Oracle, CVE-2011-3389 има базова оценка 4,3 от 10 по CVSS (точкова система за обща уязвимост). Други уязвимости, поправени от новата версия, се считат за много по-критични, като петте произволни грешки в изпълнение на кодове в различни компоненти, които имат максимален рейтинг, както и няколко необявени уязвимости. Поправени са и отделни SSL/TLS проблеми, засягащи пясъчника на Java приложенията и отравяне на DNS кеша. За сега няма съобщения за BEAST атаки, освен официалната демонстрация на Ekoparty, но това може да се промени в бъдеще, затова е препоръчително потребителите да инсталират обновлението възможно най-скоро. Като цяло, понеже е един от най-атакуваните плъгини за браузъри, обновяването на Java трябва да се счита за приоритет.

Прочети цялата новина

Свързани новини: