Chercheurs: Faille sérieuse dans Java Runtime Environment pour les postes de travail, serveurs

Les chasseurs de vulnérabilités Java de la société d'études de sécurité polonaise Security Explorations ont découvert une nouvelle vulnérabilité affectant les versions les plus récentes des ordinateurs et des serveurs. Java Runtime Environment (JRE).

Cette vulnérabilité se trouve dans le composant API Reflection de Java et peut être utilisée pour contourner complètement le sandbox de sécurité Java et exécuter du code arbitraire sur les ordinateurs, a déclaré lundi Adam Gowdiak, PDG de Security Explorations. un e-mail envoyé à la liste de diffusion Full Disclosure. La faille affecte toutes les versions de Java 7, y compris Java 7 Update 21 qui a été publié par Oracle mardi dernier et le nouveau paquet Server JRE publié en même temps, dit-il.

Comme son nom l'indique, le serveur JRE est une version de l'environnement Java Runtime conçu pour les déploiements de serveurs Java. Selon Oracle, le JRE du serveur ne contient pas le plug-in du navigateur Java, une cible fréquente pour les exploits Web, le composant de mise à jour automatique ou le programme d'installation du package JRE standard. pour supprimer les logiciels malveillants de votre PC Windows]

Bien qu'Oracle sache que les vulnérabilités Java peuvent également être exploitées sur les déploiements de serveurs en fournissant des entrées malveillantes aux API (interfaces de programmation d'applications) dans les composants vulnérables, son message est généralement que la majorité de Java Les vulnérabilités affectent uniquement le plug-in du navigateur Java ou que les scénarios d'exploitation pour les failles Java sur les serveurs sont improbables, a déclaré Gowdiak mardi par e-mail.

"Nous avons essayé de sensibiliser les utilisateurs aux erreurs d'Oracle. Vulnérabilités SE ", a déclaré Gowdiak. "Nous avons prouvé que les bugs évalués par Oracle affectant uniquement le plug-in Java pouvaient également affecter les serveurs."

En février, Security Explorations a publié un exploit de validation de principe pour une vulnérabilité Java classée plug-in basé qui aurait pu être utilisé pour attaquer Java sur les serveurs en utilisant le protocole RMI (invocation de méthode à distance), a déclaré Gowdiak. Les chercheurs de Security Explorations n'ont pas vérifié l'exploitation réussie de la nouvelle vulnérabilité qu'ils ont trouvée contre le serveur JRE mais ils répertoriaient les API Java connues et les composants pouvant être utilisés pour charger ou exécuter du code Java non sécurisé sur les serveurs

Si un vecteur d'attaque existe dans l'un des composants mentionnés dans le Guide 3-8 de Oracle "Secure Coding Guidelines for Java". Le chercheur a contesté la façon dont l'API Reflection a été implémentée et auditée pour des problèmes de sécurité dans Java 7, parce que le composant a été critiqué par Gowdiak. a été la source de multiples vulnérabilités jusqu'à présent. "L'API Reflection ne correspond pas très bien au modèle de sécurité Java et si elle est mal utilisée, elle peut facilement entraîner des problèmes de sécurité", a-t-il déclaré.

Cette faille est un exemple typique de faiblesse de l'API Reflection. Il a ajouté que cette vulnérabilité ne devrait pas être présente dans le code Java 7 un an après qu'un problème de sécurité générique lié à l'API Reflection ait été signalé à Oracle par Security Explorations.