Peneliti: Kelemahan Serius di Java Runtime Environment untuk desktop, server

Java vulnerability hunters dari firma riset keamanan Polandia Security Explorations mengklaim telah menemukan kerentanan baru yang mempengaruhi versi desktop dan server terbaru dari Java Runtime Environment (JRE).

Kerentanan ini terletak di komponen Java Reflection API dan dapat digunakan untuk sepenuhnya memotong sandbox keamanan Java dan mengeksekusi kode arbitrer pada komputer, Adam Gowdiak, CEO Explorations Keamanan, mengatakan pada email yang dikirim ke milis Pengungkapan Penuh. Cacat mempengaruhi semua versi Java 7, termasuk Java 7 Update 21 yang dirilis oleh Oracle Selasa lalu dan paket Server JRE baru dirilis pada saat yang sama, katanya.

Seperti namanya, Server JRE adalah versi Java Runtime Environment yang dirancang untuk penyebaran server Java. Menurut Oracle, Server JRE tidak berisi plug-in browser Java, target yang sering untuk eksploitasi berbasis Web, komponen pembaruan otomatis atau penginstal yang ditemukan dalam paket JRE reguler.

[Bacaan lebih lanjut: Bagaimana untuk menghapus malware dari PC Windows Anda Meskipun Oracle menyadari bahwa kerentanan Java juga dapat dimanfaatkan pada penyebaran server dengan menyediakan masukan jahat ke API (antarmuka pemrograman aplikasi) dalam komponen yang rentan, pesannya umumnya adalah bahwa mayoritas Java kerentanan hanya mempengaruhi plug-in browser Java atau bahwa skenario eksploitasi untuk kesalahan Java pada server tidak mungkin, Gowdiak mengatakan Selasa melalui email.

“Kami mencoba untuk membuat pengguna sadar bahwa klaim Oracle salah sehubungan dengan dampak Java Kerentanan SE, ”kata Gowdiak. “Kami membuktikan bahwa bug yang dievaluasi oleh Oracle hanya mempengaruhi plug-in Java dapat mempengaruhi server juga.”

Pada bulan Februari, Security Explorations menerbitkan bukti-of-concept exploit untuk kerentanan Java yang diklasifikasikan sebagai plug-in- berbasis yang bisa digunakan untuk menyerang Java pada server menggunakan protokol RMI (remote method invocation), kata Gowdiak. Oracle membahas vektor serangan RMI di Java update minggu lalu, tetapi metode lain untuk menyerang penyebaran Java pada server ada, katanya.

Penjelajah Keamanan peneliti belum memverifikasi eksploitasi sukses dari kerentanan baru yang mereka temukan melawan Server JRE, tetapi mereka mendaftarkan Java API dan komponen yang dikenal yang dapat digunakan untuk memuat atau mengeksekusi kode Java yang tidak terpercaya di server.

Jika vektor serangan ada di salah satu komponen yang disebutkan dalam Panduan 3-8 Oracle "Panduan Coding Aman untuk Java Bahasa Pemrograman, "penyebaran server Java dapat diserang melalui kerentanan seperti yang dilaporkan Senin ke Oracle, Gowdiak kata.

Peneliti mengambil masalah dengan cara Refleksi API dilaksanakan dan diaudit untuk masalah keamanan di Jawa 7, karena komponen telah menjadi sumber beberapa kerentanan sejauh ini. "The Reflection API tidak sesuai dengan model keamanan Java dengan sangat baik dan jika digunakan dengan tidak semestinya dapat dengan mudah mengarah pada masalah keamanan," katanya.

Cacat baru ini adalah contoh khas dari kelemahan Refleksi API, Gowdiak mengatakan. Kerentanan ini seharusnya tidak ada dalam kode Java 7 satu tahun setelah masalah keamanan umum terkait dengan Refleksi API dilaporkan ke Oracle oleh Security Explorations, katanya.