Az Oracle hamarosan kiadja a legfrissebb Java SE verziót, amelyben a jelenlegi szoftver 40 sérülékenysége kap javítást. A 40 sérülékenységből 37 olyan, amelyet a támadók a hálózaton keresztül, bármilyen felhasználónév vagy jelszó ismerete nélkül ki tudnak használni. A tervek szerint kedden megjelenő javítások a JDK (Java Development Kit), JRE (Java Runtime Environment) és JavaFX verzióit fogják érinteni, és a gyártó azt javasolja, hogy a lehető leggyorsabban telepítsék azokat "a sikeres támadások jelentette veszély miatt".

Az Oracle elismerte, hogy komoly biztonsági problémák vannak a Java-val, ezért három új kezdeményezést is bejelentett annak érdekében, hogy helyrehozzák a dolgokat. Ezek közül az első nem mindenki tetszését fogja elnyerni, ugyanis eddig évente háromszor adtak ki új verziót a szoftverből, de mostantól a frissítések a negyedévente érkező Oracle Critical Patch Update részeként fognak érkezni. Az Oracle CPU több tucat szoftverhez tartalmaz javítócsomagokat, így ha ezzel együtt adják ki a Java frissítéseket is, akkor az komoly többletmunkát jelent a szakembereknek a csomag megérkezésekor.

Az Oracle úgy döntött, hogy megváltoztatja a Java biztonsági frissítések számozását, amire egy szakértő ennyit reagált: "mintha nem lenne már most is eléggé zavaró". A változásokat az Oracle a saját weboldalán hozta nyilvánosságra az elmúlt héten. "A Limited Update kiadások a 20 többszöröseit kapják verziószámként, illetve a Critical Patch Update-ek pedig továbbra is páratlan számúak lesznek. Ezeket a számokat úgy számolják ki, hogy az előző Limited Update verziójához az öt többszöröseit adják hozzá, illetve ehhez hozzáadnak egyet, ha páros lenne a szám". A Limited Update-ek azok a frissítések, amelyekbe új funkciók kerülnek be, de nem lesznek hibajavítások, a Critical Patch Update-ek pedig a sérülékenységekre készült javításokat fogják tartalmazni.

A régi mondás szerint az öreg kutyák már nem tanulnak új trükköket, azonban ez nem igaz a Java exploit kit-ekre. Az egyik legelterjedtebb exploit kit, a g01pack új képességgel bővített a repertoárját, hogy el tudja kerülni a lebukást, állítják a Trusteer kutatói. Az új trükk egy olyan exploit, amely megváltoztatja az eljárást, aminek segítségével a káros szoftver megfertőzi az áldozat számítógépét. Az exploit kit-et úgy tervezték, hogy az Oracle által tavaly a Java 6-os verziójában befoltozott sérülékenységet vegyen célba. Annak ellenére, hogy a Java legutolsó verziója már a 7.x, a Trusteer szerint az elmúlt hónapban még minden 3000-ből egy gépen megtalálható a káros szoftver.

Ha Ön még nem telepítette fel a Java legfrissebb verzióját, amelyet az Oracle az elmúlt héten adott ki, és ami több tucatnyi kritikus hibát javított ki, akkor most már igazán ideje lenne. Az elmúlt napokban a RedKit és a CrimeBoss exploit kit-ekbe több olyan kód is bekerült, amely képes kihasználni a Java 7 update 21-ben javított hibákat. Az antivírus alkalmazásokat készítő F-Secure kutatói szerint a vasárnap óta elérhető exploit-ok segítségével a bűnözők képesek feltörni a gyanútlan felhasználók rendszerét, bár a blogbejegyzés nem részletezi pontosan, hogyan használják ki a sérülékenységeket a támadók.

Alig néhány napja adta ki az Oracle a Java legfrissebb verzióját, de a lengyel biztonsági szakértő Adam Gowdiak máris bejelentette, hogy újabb sérülékenységre bukkant az elterjedt szoftverben. Egy Full Disclosure bejegyzésben a szakember felhívta a figyelmet arra, hogy a Reflection API egy hibája az összes Java 7 verziót érinti, "és ennek kihasználásával teljes mértékben meg lehet kerülni a célpont rendszer sandbox védelmét". Mint mindig, most is szükséges, hogy felhasználó megbukjon a Java IQ teszten, ugyanis nem elég, hogy fel van telepítve a Java a számítógépére, hanem a "Yes" gombra kell kattintania, hogy a káros alkalmazás lefusson a rendszerén. A sérülékenység érinti a böngészőbe integrált bővítményt, a Java Development Kit-et és a Server JRE-t egyaránt.

A Websense biztonsági cég által hétfőn bemutatott jelentés szerint a legtöbb böngésző program régi, ismert sérülékenységeket tartalmazó Java bővítményt használ, amelyekben található legalább egy olyan szoftver hiba, amit az elterjedt, webes támadásokban használt toolkit-ek célba tudnak venni. A jelentés annak a több millió számítógépnek az összegyűjtött adatait használja fel, amelyeket a Websense termékei által védett rendszerek statisztikáiból nyertek (web és email gateway biztonsági szoftverek, de egyben Facebook partnerek is, mivel megvizsgálják azokat a hivatkozásokat is, amelyekre a közösségi oldalon kattintanak a felhasználók).

Az Oracle a Java 7u11-ben bevezetett biztonsági modellje hamar a hacker-ek célkeresztjébe került, akik nemrégiben már demonstrálni is tudták, hogyan lehet megkerülni a beállításokat social engineering segítségével. A gyártó akkor közepesről magasra emelte a biztonsági beállításokat, amelynek eredményeképp az aláíratlan Java Web alkalmazások nem futnak le automatikusan, helyette a rendszer figyelmeztetést küld a felhasználónak, így megelőzhető a titokban végrehajtott exploitálási kísérlet. Azonban egy online német szótárban egy Java exploit-ot fedeztek fel, amely úgy viselkedik, mintha egy legális vállalat a Clearsult Consulting Inc. által kiadott ClearWeb Security Update lenne, azonban az aláírásra használt kulcsot annak megszerzése miatt már 3 hónappal ezelőtt visszavont a kibocsátó GoDaddy.

Ha a gyártó ürügyet biztosít arra, hogy egy biztonsági szakértő mélyebben megvizsgáljon egy potenciális biztonsági problémát, akkor annak általában nem lesz jó vége. A lengyel Security Explorations biztonsági cég - amelyet már korábbról is a Java 0-day sérülékenységek felfedezéseiről ismerhetünk - bejelentette, hogy öt új Java 7 sérülékenységet mutatott be az Oracle-nek, amelyek kombinált alkalmazásával meg lehet kerülni a Java sandbox-ot. A mélyebb vizsgálat abból következett, hogy Adam Gowdiak február 25-én két másik sérülékenységet jelentett az Oracle felé, amelyek együttes használatával szintén meg lehet kerülni a homokozót. Akkor az Oracle az egyiket "allowed behavior"-nak (megengedett viselkedés) minősítette, nem pedig sérülékenységnek, de a másikat elfogadták hibaként. "Úgy véljük, hogy a megengedett viselkedés ellentmond mind a Java SE dokumentációnak, valamint a kódban lévő biztonsági ellenőrzéseknek is", mondta a lengyel biztonsági szakértő.

Úgy látszik, hogy a Java egy pillanatnyi pihenőt sem kaphat. Alig pár nappal azután, hogy javításra került egy 0-day sérülékenység, két újabb exploit-ot fedeztek fel. A Kaspersky által talált káros kód megpróbálja telepíteni a távoli hozzáférést lehetővé tevő McRAT trójai programot úgy, hogy felülírja a JVM által használt memóriát, ez pedig kiváltja a káros kód lefutását. A Windows rendszert támadó McRAT egy C&C szerverhoz próbál csatlakozni, és saját magát az operációs rendszer dll állományai közé másolja. A másik káros szoftver egy Minecraft jelszó lopó, amit az Intego fedezett fel. Az exploit "Minecraft Hack Kit" néven terjed, és úgy állítja be magát, mint egy olyan eszköz, amelynek segítségével a Minecraft felhasználók egyszerűbben oldhatnak meg bizonyos feladatokat.