Sun Microsystems'in, yayınladığı son güvenlik bülteniyle Java ürünlerinde bir çok güvenlik açığı olduğu bildirildi. Kritik olarak nitelendirilen güvenlik açıkları, sistemden bilgi çalınması ve DoS atakları gibi zaaflara neden olabiliyor.
Güvenlik açıklarından ilki, özel olarak hazırlanmış JAR dosyalarının Java Runtime Environment'ta (JRE) yaratılan geçici dosyaları sömürmesi ile oluşmakta. Bir diğer güvenlik açığı Java AWT kütüphanesi resim modelleri işlerken meydana gelmekte. Bu güvenlik açığı ConvolveOp işlemi üzerinden sistemde buffer overflow (hafıza taşması) oluşturabiliyor. Benzer şekilde bir güvenlik açığı da Java Web Start'ın GIF dosyaları işlerken oluşuyor.
Bültende dikkat çeken bir diğer güvenlik açığı da Java Güncelleme mekanizmasında bulunuyor. Dijital imzanın kontrol edilmemesi sebebiyle bu mekanizma, Man in the Middle saldırılarına açık görünüyor. Bunun dışında güvenlik açıkları; Java Web Start, JRE, JAX-WS ve JAXB JRE paketleri, TrueType fontları ve RSA public anahtarlarda bulunmakta.
Çözüm:
Düzeltilmiş versiyonlara güncelleme yapın.
JDK ve JRE 6 Güncelleme 11:
http://java.sun.com/javase/downloads/index.jsp
JDK ve JRE 5.0 Güncelleme 17:
http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK ve JRE 1.4.2_19:
http://java.sun.com/j2se/1.4.2/download.html
SDK ve JRE 1.3.1_24:
http://java.sun.com/j2se/1.3/download.html
Referanslar:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244986-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244987-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244988-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244989-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244990-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244992-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-245246-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246266-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246286-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246346-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246366-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246386-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246387-1
Virtual Security Research:
http://www.vsecurity.com/bulletins/advisories/2008/JWS-props.txt
Hiç yorum yok:
Yorum Gönder