Kritikus fontosságú patch a Java-nak

A megfelelő ismeretek birtokában levő támadók akár távolról is megszerezhetik a rendszer feletti teljes ellenőrzést, derült ki a héten, amikor a Sun kiadta legújabb patch-ét. A Windows, Solaris és Linux operációs rendszereket keresztplatformos felépítése miatt egyaránt veszélyeztető biztonsági rés a Java Development Kit 1.5-ös, Software Development Kit (SDK) 1.3-as és 1.4-es, illetve a Java Runtime Enviroment (JRE) 1.3-as, 1.4-es, 1.5-ös és 5.0-s változatait mind érinti. Erről a dán, IT-biztonsággal foglalkozó Secunia tájékoztatta a nyilvánosságot.

A Sun JRE szoftvere, annak is az 1.4-es változata rengeteg internetes számítógépen található meg. A futtatási környezet (runtime enviroment) lehetővé teszi a Java-s alkalmazások futtatását. A minap ismertté vált hibákat a JRE egyik API-jában (alkalmazásprogramozói felület) fedezték fel – abban, amelyik az úgynevezett sandbox, és a rendszer többi része közti kommunikációért felel. Súlyosságukat jól szemlélteti a kihasználásukkal járó előnyük: a támadó tetszőleges kódot futtathat a megtámadott rendszeren, illetve file-okat olvashat vagy írhat felül.

Az utolsó, Java Runtime Enviromentet érintő javítást tavaly novemberben adta ki a Sun; akkor öt hibát iktatott ki az őszi patch révén. Ebből három szintén az API-n keresztül okozott problémát.