HARD CORE SECURITY LAB

Korporacja Oracle kilka dni temu załatała krytyczną lukę odkrytą niedawno w środowisku wykonawczym Sun Java (Java Runtime Environment, JRE). Aktualizacja Java 6 Update 20 rozwiązała problem obecny w module Java Deployment Toolkit (JDT), który to pozwalał odpowiednio spreparowanej witrynie na uruchomienie dowolnego programu w ramach lokalnego systemu operacyjnego odwiedzającego ją internauty. Warto zauważyć, że pomimo ukazania się odpowiedniej aktualizacji, Mozilla postanowiła dodatkowo zadbać o bezpieczeństwo użytkowników Firefoksa.

Aktualizacja Update 20 została opublikowana wkrótce po pojawieniu się pierwszych internetowych ataków wykorzystujących najnowszą lukę w Javie. Wszyscy użytkownicy chcący sprawdzić zabezpieczenia własnych systemów po zaaplikowaniu poprawki, mogą to zrobić odwiedzając testową witrynę utworzoną przez odkrywcę luki, Tavisa Ormandy. Jeśli tylko nasz system jest podatny na atak, to w wyniku działania kodu PoC, w systemie operacyjnym powinno nastąpić automatyczne uruchomienie aplikacji calc.exe.

Użytkownicy przeglądarki Firefox mogą jednak liczyć w tej kwestii na dodatkową ochronę. Okazuje się bowiem, że Mozilla zastosowała mechanizm blokowania niebezpiecznych (nieaktualnych) wersji wtyczki Java Development Toolkit.
Co prawda pojawiły się głosy, że takie działania są wynikiem problemów z aktualizacją Javy w Firefoksie. Okazało się bowiem między innymi, że zastosowanie aktualizacji Update 20, w przypadku Firefoksa nie zawsze usuwa podatność na atak, zdarza się bowiem, że poprzednia wersja wtyczki nie zostaje skutecznie usunięta. Warto nadmienić, że ręczne wyłączenie poszczególnych wtyczek w Firefoksie możliwe jest po skorzystaniu z opcji Narzędzia/Dodatki/Wtyczki.

Jakie nie byłyby jednak powody wprowadzenia przez Mozillę mechanizmu unieszkodliwiania niebezpiecznych wersji wtyczki Java Development Toolkit, pomysł ten jest godny pochwały. Wiadomo bowiem, że opublikowanie aktualizacji to jedno, a zastosowanie jej przez wszystkich użytkowników danego rozwiązania to już zupełnie inna historia.

Być może więc automatyczne blokowanie nieaktualnych programów, wtyczek i dodatków jest świetnym pomysłem na zwiększenie bezpieczeństwa wszystkich internautów? Użytkownik chcący skorzystać z danej funkcji, będzie musiał wykonać aktualizację, zostanie więc zabezpieczony przed popularnymi w danej chwili rodzajami ataków. Użytkownik, który z danej funkcji nie korzysta (wielu internautów nie zdaje sobie nawet sprawy z ogromnej ilości wtyczek i dodatków obecnych w ich systemie), nawet nie zauważy jej zablokowania we własnym systemie, nie mniej jednak również będzie bezpieczny...

Z pewnością jednak część internautów aktywnie zaprotestuje przeciwko tego typu rozwiązaniom automatycznie wyłączającym poszczególne funkcje w ich własnych systemach i wymuszającym określone działania. Pytanie tylko, czy prawo do decydowania o tym co się dzieje w ramach naszego lokalnego systemu informatycznego jest ważniejsze od bezpieczeństwa wszystkich innych internautów? Nie jest bowiem tajemnicą, że pozwalając na infekcję własnego komputera, często przyczyniamy się do rozwoju globalnych internetowych epidemii...