Forskare: Allvarlig fel i Java Runtime Environment för stationära datorer, servrar

Java-sårbarhetsjägare från polska säkerhetsforskningsföretag Säkerhetsförklaringar hävdar att de har hittat en ny sårbarhet som påverkar de senaste skrivbords- och servernsversionerna av Java Runtime Environment (JRE).

Sårbarheten finns i Java: s Reflection API-komponent och kan användas för att helt förbikoppla Java-säkerhetssandboxen och utföra godtycklig kod på datorer, Adam Gowdiak, VD för säkerhetsexperiment, sa måndagen i ett e-postmeddelande skickat till Fullständig upplysningsadresslista. Felet påverkar alla versioner av Java 7, inklusive Java 7 Update 21 som släpptes av Oracle förra tisdagen och det nya Server JRE-paketet släpptes samtidigt.

Som namnet antyder är Server JRE en version av Java Runtime Environment utformad för Java-server-implementeringar. I enlighet med Oracle innehåller inte Server JRE Java-plugin-programmet, ett vanligt mål för webbaserade exploater, autouppdateringskomponenten eller installationsprogrammet som finns i det vanliga JRE-paketet.

[Vidare läsning: Hur för att ta bort skadlig kod från din Windows-dator]

Även om Oracle är medveten om att Java-sårbarheter också kan utnyttjas vid serverutplaceringar genom att leverera skadlig inmatning till API: er (Programmeringsgränssnitt) i sårbara komponenter, har meddelandet generellt sett varit att majoriteten av Java Sårbarheter påverkar bara Java-pluginprogrammet eller att exploateringsscenarierna för Java-fel på servrar är osannolika, sade Gowdiak tisdag via e-post.

"Vi försökte göra användarna medvetna om att Oracle påståenden var felaktiga med avseende på Java-påverkan SE sårbarheter, säger Gowdiak. "Vi visade att buggarna som utvärderats av Oracle som påverkar bara Java-plugin-modulen kan påverka servrar också."

I februari publicerade Security Explorations ett bevis för konceptutnyttjande för Java-sårbarhet klassificerad som plug-in baserat som kunde ha använts för att attackera Java på servrar med hjälp av RMI (remote method invocation) protokollet, sade Gowdiak. Oracle adresserade RMI-angreppsvektorn i Java-uppdateringen förra veckan, men andra metoder för att attackera Java-implementeringar på servrar existerar, säger han.

Security Explorations forskare har inte verifierat det framgångsrika utnyttjandet av den nya sårbarheten de hittat mot Server JRE, men de listade kända Java-API och komponenter som kan användas för att ladda eller exekvera otillförlitlig Java-kod på servrar.

Om en attackvektor existerar i en av de komponenter som nämns i Riktlinje 3-8 i Oracles "Säkra kodningsriktlinjer för en Java Programmeringsspråk, "Java-server-implementeringar kan attackeras genom en sårbarhet som den som rapporterades måndag till Oracle, säger Gowdiak.

Forskaren tog problem med hur Reflection API implementerades och granskades för säkerhetsproblem i Java 7, eftersom komponenten har hittills varit källa till flera sårbarheter. "Reflektion API passar inte bra till Java-säkerhetsmodellen, och om den används felaktigt kan det enkelt leda till säkerhetsproblem," sa han.

Detta nya fel är ett typiskt exempel på en svaghet i reflektions API, sa Gowdiak. Denna sårbarhet bör inte vara närvarande i Java 7-kod ett år efter det att ett generellt säkerhetsproblem relaterat till Reflektion API rapporterades till Oracle av Security Explorations, sa han.