CERT-FI haavoittuvuustiedote 065/2010

12.4.2010

Haavoittuvuus Java Web Start -kontrollissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Java Deployment Toolkit on uudempien Sun Java-versioiden lisäkomponentti, joka on tarkoitettu auttamaan kehittäjiä levittämään Java-ohjelmiaan loppukäyttäjille. Komponentti asennetaan Javan asennuksen yhteydessä selaimen lisäosaksi. Java Deployment Toolkit-komponentin argumenttikäsittelystä on löydetty haavoittuvuus, jonka avulla hyökkääjä voi antaa Java Web Start -ohjelmistolle haluamiaan komentoriviargumentteja.

Komentoriviargumenttien avulla voi määritellä muun muassa suoritettavan Java-ohjelman tai käytettävän Java-virtuaalikoneen URL-osoitteen. Näin hyökkääjän on mahdollista suorittaa haavoittuvuutta hyväksi käyttäen kohdejärjestelmässä haluamaansa ohjelmakoodia houkuttelemalla käyttäjä tavalla muokatulle www-sivustolle.

Päivitys 15.4.2010: Haavoittuvuuteen on julkistettu hyväksikäyttömenetelmä, ja sitä käytetään aktiivisesti hyökkäyksissä.

HAAVOITTUVAT OHJELMISTOT:

• Sun Java versio 1.6.0_10 ja sitä uudemmat versiot ennen versiota 1.6.0_20. Haavoittuvuus koskee Javan Windows-, Linux- ja Mac OS X -versioita.
• IBM Java ennen versiota to 1.4.2 SR13 FP5. Vain haavoittuvuus CVE-2010-0887 koskee IBM Javaa.
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Java versioon 1.6.0_20 (6u20) valmistajan ohjeiden mukaisesti. Päivitysten yhteydessä vanhat Java-versiot kannattaa myös poistaa tietokoneelta mahdollisuuksien mukaan. Päivitykset ovat tulleet saataville myös Apple Mac OS X -käyttöjärjestelmille.

Haavoittuvuutta voi rajoittaa poistamalla haavoittuva Java Deployment Toolkit-komponentti käytöstä. Internet Explorer-selaimen käyttämän kontrollin latautumisen voi estää rekisterimuutoksen, ns. kill bitin, avulla. Mozilla Firefox-selaimen lisäkomponentin voi poistaa käytöstä estämällä pääsy haavoittuvaan kirjastoon.

LISÄTIETOA:

• http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0886.html
• http://java.sun.com/javase/6/webnotes/6u20.html
• http://www.kb.cert.org/vuls/id/886582
• http://seclists.org/fulldisclosure/2010/Apr/119
• http://seclists.org/bugtraq/2010/Apr/80
• https://www.ibm.com/developerworks/java/jdk/alerts/
• CVE-2010-0886, CVE-2010-0887

PÄIVITYSHISTORIA:

12.4.2010, kello 15.04: Julkaistu
13.4.2010, kello 23.05: Lisätty linkki US-CERT:in tiedotteeseen
15.4.2010, kello 12.45: Lisätty tieto korjauksesta ja haavoittuvuuden hyväksikäytöstä
26.4.2010, kello 16.09: Lisätty CVE-tiedot ja linkki Oraclen tiedotteeseen
19.5.2010, kello 7.30: Lisätty tieto Mac OS X -käyttöjärjestelmän päivityksestä
29.7.2010, kello 11.39: Lisätty tieto IBM Javan päivityksestä

Sivua päivitetty 30.07.2010

Tulostusversio