Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Javocalypse

2010.04.10. 16:26 | buherator | 18 komment

Trey már megírta a lényeget a HUP-on:

Julien Tinnes, a Google biztonsági csapatának tagja - tegnapi blogbejegyzésében arról ír, hogy Sami Koivu egy évvel azután, hogy egy rakás Java-val kapcsolatos biztonsági hibát hozott napvilágra, újra egy csokor buggal jelentkezett. De nem csak Koivu, hanem Tinnes kollégája, Tavis Ormandy is érdekes felfedezésekkel állt elő. Tinnes szerint ez már az utolsó szög kell legyen mindenkinél a Java appletek koporsójába, akinek biztonsággal kapcsolatos elvárásai vannak. Tinnes a következőket javasolja azoknak, akik nem akarják, hogy rommá törjék:

  • a Java letiltása a böngészőkben

  • Windows-on a Java teljes eltávolítása (nem elég a letiltás) vagy Tavis workaround-jainak alkalmazása

Tinnes egy kérdésre válaszként a kommentekben megjegyzi, hogy a CVE-2010-0095 ID-vel rendelkező bugon kívül minden, a blogbejegyzésben említett hiba tetszőleges kódfuttatáshoz vezethet.

A részletek a blogbejegyzésben. A Tavis Ormandy által talált hibáról bővebben itt.

... én csak néhány dologgal egészíteném ki a fentieket:

Az Ormandy által felfedezett sebezhetőség egy komoly tervezési hiba, tehát nem valami egyszerű programozói typoról van szó, hanem valami hasonlóról, mint ami a PDF formátumot is sújtja: a Java Web Start gondolkodás nélkül ad át parancssori argumentumokat a javaws binárisnak, melynek ilyen módon megadható egy alternatív JavaVM DLL, ami szépen be is töltődik, majd azt csinál amit szeretne. Ez a fájl elhelyezkedhet akár egy távoli kiszolgálón SMB megosztásán is, és miután semmilyen hagyományos hibakihasználásról nincs szó, az ezek ellen készült hardening megoldások (ASLR, DEP, stack cookiek...) szóba sem kerülnek, mindennek tetejébe a probléma a Windows és Linux platformokat is érint.

Javítás az nincs, ugyanakkor Tinnes megjegyzi, hogy a hiba részleteinek publikálását az indokolta, hogy már találkoztak olyan rosszindulatú támadásokkal, melyek ezt a problémát használják ki. 

Címkék: java

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Udi · http://blog.udi.hu 2010.04.12. 10:51:49

Na, a végén még munkanélküli leszek.;_;

Nem egyszerűbb simán csak kiütni a javaws-t? Közvetlenűl megcélozható a java(.exe) is?

stringZ 2010.04.12. 17:59:53

Java = Bloatware, legalábbis a kliens oldali. Semmi értelme nincsen, lassú, erőforráspazarló és bugos is.

ebedli 2010.04.12. 20:00:41

Azért a HUP-os kommenteket olvasva nem tűnik ez olyan rettenetes fenyegetésnek, a felhasználó beleegyezése is kell ahhoz, hogy bármilyen kód jogosultságot szerezzen a gépen.

J_H_Mallory (törölt) 2010.04.12. 21:09:30

Off, de ez azért sokkal, de sokkal aggasztóbbnak tűnik:

www.crypto.com/blog/spycerts/

kuki123 2010.04.12. 21:20:22

Már 5-6 évvel ezelőtt tudni lehetett hogy a JAVA egy élő halott programnyelv
már akkor le kellett volna állítani vagy megszüntetni

szóval vagy 5-6 éves dolog hogy már tudjuk hogy nyüzsög a rendszerszintű hibáktól...

nem is értettem mireföl nyomulnak ezzel a szar nyelvvel sok fősulin
mintha szándékosan életben akarták volna tartani

Dömper Ármánd 2010.04.12. 21:27:34

@volánrulz: "Már 5-6 évvel ezelőtt tudni lehetett hogy a JAVA egy élő halott programnyelv"

Honnan?

Szibarita 2010.04.12. 22:38:13

@volánrulz: A Java a legnepszerubb programnyelv ott, ahol az a legtobbet szamit, a nagyvallalati rendszerekben. Egyebkent meg en meg nem lattam olyat, hogy valaki webstartot futtasson bele a nagyvilagba, ilyet meg csak trusted kliensen lattam (csinaltam).

Ne beszelj zoldsegeket azert, mert te nem szereted.

Udi · http://blog.udi.hu 2010.04.12. 23:15:55

@ebedli: Mint még nagyon sok kihasználható hibához. Júzer nem olvas, kattint.

Az applet valóban eléggé halott technológia. Már régen kinyírta a flash. Magát a Javát temetni azonban még picit korai lenne.

axt · http://axtaxt.wordpress.com/ 2010.04.12. 23:34:26

@volánrulz: ez egy kemény "szakmai" vélemény!
mondjál már pár "rendszerszintű" hibát amiktől nyüzsög ...

Arp1 2010.04.13. 00:06:26

@volánrulz
Hülyeségeket beszélsz. Enyhítő körülmény, hogy Jobbikos vagy, tehát a hülyeség az nálad rendszerszintű.

A JVM most az egyik legjobban fejlődő technológia. Maga a Java programozási nyelv egy konzervatív nyelv, ami azt jelenti, hogy csak akkor nyúlnak hozzá, ha az nem borítja az eddigi alkalmazásokat. Nem is csoda miért, hiszen több éve működő rendszerek vannak, amiket nem kellene elrontani. Tehát a Java-tól ne is várd hogy a legmodernebb legyen.

Ha "modern", jövőbemutató programnyelveket akarsz, akkor abból is van (több is), és ezek is JVM-en futnak. Igen, nem Java a programozási nyelv, de ugyanazt a virtuális gépet használják. Olyan programnyelvek mint: Scala, jRuby, Clojure, X10

A Sun (most már Oracle) által fejlesztett Java virtuális gép jó eséllyel pályázik a világ legjelentősebb szoftvere címre.

Desktopon nem igazán jelentős (az ugye Microsoft terület), de a szerver oldal az a Java területe. Annyira, hogy a (modernebb) C#-ben írt szerver programokat írják át Java-ra.

A fent említett hiba a JWS-t (Java Web Start) komponenst érinti. Ez az, amivel böngészőben linkre kattintva, de nem a böngészőben, egy Java programot lehet elindítani (tehát nem Applet). De a JWS hibája még nem is elég a biztonsági lyuk kihasználására, hanem egy speciális jvm.dll-t kellene gyártani és azt valahogy eljuttatni a lokális gépre (lokális hálózatra), ahhoz, hogy web-oldalon keresztül ki lehessen használni ezt a biztonsági lyukat. Nem hogy Applet alig van már használatban, de JWS még annyira se.

synapse · http://www.synsecblog.com 2010.04.13. 10:16:49

Jajj de megy itt az osztas, elolvastad te a tanacslatot Arp1?

"De a JWS hibája még nem is elég a biztonsági lyuk kihasználására, hanem egy speciális jvm.dll-t kellene gyártani és azt valahogy eljuttatni a lokális gépre (lokális hálózatra)"

Komplikalt egy ilyen linket elhelyezni: \\1.2.3.4\smbshare\pwn.dll

Csak hogy lasd milyen segitokesz vagyok:
www.mail-archive.com/full-disclosure@lists.grok.org.uk/msg40571.html

synapse

Szibarita 2010.04.13. 10:51:24

@synapse: Csak idiotak futtatnak webstartot olyan helyrol, amiben nem biznak. A webstart sima alkalmazas, alig kulonbozik egy exe-tol.

Azt nem latom, hogy az appletekrol miert szol a fenti, pedig szeretnem.

Arp1 2010.04.13. 10:53:09

@synapse:

Jaja, olvastam, értem én, hogy lokális gépről elérhető SMB share-en lévő dll-t is be lehet neki adni, és akkor mi van? Az SMB share az nem ugyanaz mint az internet. Ha a gépen vagy az SMB sharen egy szar dll van, akkor az hogy került oda? Ha szar DLL van a gépen, akkor ugyanazzal az erővel a java.exe is lehetne vírusos, ami windows probléma és semmi köze Java-hoz. Ha meg kiengedi a gép az internetre az SMB-t, akkor az a gép nincs tűzfal mögött, és már eleve teljesen vírusos.

De az egésznek semmi értelme. A JWS-el indított JAR teljes user jogosultsággal fut a gépen. Tehát ez az "exploit" semmi olyat nem tud, amit simán a normális módon elindított JAR-ból ne lehetne megcsinálni.

Az emberek megfontolás nélkül töltenek le és futtatnak EXE fájlokat a netről, de mindig a JWS-t kell kifogásolni. A JWS semmivel se kevésbé vagy jobban biztonságos, mint a netről letöltött EXE. Pornó oldalról nem szoktál EXE-t letölteni? Hát akkor JWS-t ("jnlp" kiterjesztésű fájlt) se tölts le. Ennyi.

synapse · http://www.synsecblog.com 2010.04.13. 13:31:18

"Az SMB share az nem ugyanaz mint az internet."

De igen. Az 1.1.1.1 ezt hivatott illusztralni.

"Ha meg kiengedi a gép az internetre az SMB-t, akkor az a gép nincs tűzfal mögött, és már eleve teljesen vírusos"

Ahahaha, persze. FYI neked is az ISP-d filterezi ki, ahogy sok szazezer masik embernek.

"A JWS-el indított JAR teljes user jogosultsággal fut a gépen. Tehát ez az "exploit" semmi olyat nem tud, amit simán a normális módon elindított JAR-ból ne lehetne megcsinálni."

De, az attacker tetszoleges parancsfuttatast er el rendkivul megbizhato modon, user-interakcio nelkul, tavolrol.

"Az emberek megfontolás nélkül töltenek le és futtatnak EXE fájlokat a netről, de mindig a JWS-t kell kifogásolni. A JWS semmivel se kevésbé vagy jobban biztonságos, mint a netről letöltött EXE. Pornó oldalról nem szoktál EXE-t letölteni? Hát akkor JWS-t ("jnlp" kiterjesztésű fájlt) se tölts le. Ennyi."

Te meg mindig nem olvastad el a tanacslatot, de nagypofaval mondod a baromsagot pedig meg linkeltem is. Javascriptbol triggereli a hibat, nem kell letolteni semmit. Ehhez a pornooldalrol exe letolteshez meg hasonlohoz annyit fuznek hozza hogy a picit is kepzett emberek nem fogjak ezt megjatszani, ellenben siman odatevedhetnek (XSS) altal egy ilyen malware sitera. Az, hogy te letoltesz mindent nem altalanos ervenyu (szerencsere).

synapse

Arp1 2010.04.13. 19:28:25

@synapse:

"De, az attacker tetszoleges parancsfuttatast er el rendkivul megbizhato modon, user-interakcio nelkul, tavolrol."
Ebben igazad van, nem néztem meg hogy figyelmeztet-e vagy sem, hát nem. Ebből a szempontból tényleg gáz.

"Ahahaha, persze. FYI neked is az ISP-d filterezi ki, ahogy sok szazezer masik embernek."
Nekem speciel a gépen szűri ki, de a router is, ha az internet szolgáltató is, akkor az bónusz.

"Az SMB share az nem ugyanaz mint az internet."
"De igen. Az 1.1.1.1 ezt hivatott illusztralni."

Azt minden rendszergazda és hozzáértő felhasználó tudja, hogy az SMB-t nem szabad internetre engedni. És mint írtad internet-szolgáltatók is szűrik. Ha legalább egy helyen (gép, router, ISP) szűrik az SMB-t, akkor már nem juthat át, és nem működik a dolog. De ha nem szűri senki, hát miért nem?

"Az, hogy te letoltesz mindent nem altalanos ervenyu (szerencsere)."
Nem szokásom szemetet letölteni, de most erre mondjam azt hogy akkor te meg minden tűzfal nélkül netezel?

synapse · http://www.synsecblog.com 2010.04.13. 22:31:11

lehet meg lehet neki adni mas portot is de ebben nem vagyok biztos

es igen, tuzfal nelkul netezek. Nincs pubba figyelo szolgaltatas a gepemen :)

synapse