Vidéo: Anatomy of Another Java Zero-Day Exploit (Novembre 2024)
Les chercheurs ont découvert une autre vulnérabilité de type «jour zéro» en Java, et des attaquants l'exploitent dans la nature.
Darien Kindlund et Yichong Lin, deux chercheurs de FireEye, ont écrit sur le blogue de FireEye Malware Intelligence Lab jeudi, lorsqu’ils ont déclenché la faille de sécurité, s’il est provoqué par une lecture arbitraire de la mémoire dans la machine virtuelle Java. En cas de succès, le code d’attaque télécharge un compte-gouttes McRAT et un cheval de Troie voleur d’informations sur l’ordinateur de la victime. C'est un type de défaut différent de certains des autres que nous avons vus récemment.
FireEye a déclaré que plusieurs de ses clients avaient vu l'attaque contre les navigateurs avec Java activé. Les failles de sécurité se trouvent dans Java v.1.6 Update 41 et dans la dernière version de Java v1.7 Update 15, qui vient de paraître le 19 février, selon FireEye. Les chercheurs ont déjà divulgué la vulnérabilité à Oracle (CVE-2013-1493). Aucune autre information n'est actuellement disponible chez Oracle.
Plus de jours zéro
Les chercheurs de FireEye ont bien résumé le sentiment qui prévalait dans le titre de l'article: "YAJ0: encore un autre jour 0 Java." Bien que Java soit une cible d'attaque populaire depuis longtemps, il semble qu'une explosion de Java-jour zéro soit exploitée. dans la nature au cours des deux derniers mois. C'est le même jeu de chat et de souris que nous avons vu avec d'autres sociétés. Un jour zéro est trouvé, la société le corrige, un nouveau jour zéro est trouvé. Laver, rincer et répéter.
Oracle, la société bien connue pour sa réticence à publier des correctifs en dehors du calendrier prévu, a publié plusieurs mises à jour d'urgence au cours de la dernière année en raison de la gravité des bugs. La société a publié une mise à jour prévue le 19 février, mais il est probable que ce bogue déclenchera un nouveau correctif d'urgence.
Éteignez-le ou limitez-le
Êtes-vous fatigué du manège et voulez-vous un moyen de sauter? Désactivez Java dans le navigateur. Désactiver le plugin. Nous vous montrons comment désactiver Java. Êtes-vous l'une des nombreuses personnes qui ont besoin de Java pour leurs activités professionnelles ou scolaires et qui ne peuvent pas désactiver Java dans leur navigateur?
Voici ce que vous pouvez faire. Vous désactivez Java dans votre navigateur principal par défaut. Le navigateur que vous utilisez le plus ne devrait pas du tout avoir Java. Et puis vous installez le navigateur que vous n'utilisez pas souvent - la plupart des gens ont généralement plusieurs navigateurs installés sur leurs ordinateurs, de toute façon - et vous activez Java pour cela. La chose importante ici, cependant, est que vous n'utilisez jamais, jamais, absolument jamais, ce navigateur pour accéder à un site autre que cette poignée de sites sur lesquels vous devez exécuter Java. Vous devez utiliser Blackboard? Vous lancez le navigateur Java. Vous devez rechercher quelque chose qui a été mentionné lors de la session Blackboard? Au lieu de cliquer, copiez le lien, lancez votre navigateur par défaut et collez-le.
Cela ajoute de nombreuses étapes supplémentaires, et je peux vous dire que c'est extrêmement ennuyeux. Mais je me sens plus en sécurité en sachant que je réduis mes chances d'être touché par une attaque de trous d'eau. Pensez à tous ces développeurs mobiles de Facebook, Twitter, Microsoft et Apple. Ils ont visité un site Web pour développeurs iOS (probablement un site qu’ils ont visité régulièrement, compte tenu de leur travail) avec des navigateurs compatibles Java, qui ont été compromis.
Si vous êtes suffisamment ennuyé, vous passerez à l'étape suivante, qui consiste à faire pression sur la société pour qu'elle cesse d'utiliser Java. «Il n’ya plus aucune raison pour que les sites Web utilisent des applets Java», a déclaré Chester Wisniewski, de Sophos, à la conférence RSA de cette semaine. Vous pouvez faire pression sur le service informatique pour qu'il passe à un produit différent. En tant que clients, vous pouvez demander au fournisseur de proposer une alternative non-Java ou, le moment venu, pour renouveler l'abonnement ou le contrat, vous annulerez et choisirez un autre produit. L'argent parle.
Wisniewski a déclaré ne pas avoir pris la décision de recommander de désactiver légèrement Java. Il examina attentivement les ramifications et conclut que pour le moment, c'était la chose la plus sûre à faire.
