الباحثون: عيب خطير في بيئة جافا Runtime لسطح المكتب ، والخوادم

الباحثون عن الضعف في جافا من شركة الأبحاث الأمنية البريطانية Security Explorations يزعمون أنهم وجدوا ثغرة جديدة تؤثر على أحدث إصدارات سطح المكتب والخوادم Java Runtime Environment (JRE).

يقع الثغرة الأمنية في مكون Java Reflection API ، ويمكن استخدامها لتجاوز رمل أمان Java وتنفذ تعليمات برمجية عشوائية على أجهزة الكمبيوتر ، حسبما قال آدم جودياك ، الرئيس التنفيذي لشركة Explorations الأمنية ، يوم الاثنين الماضي. بريد إلكتروني تم إرساله إلى القائمة البريدية للإفصاح الكامل. ويؤثر هذا الخلل على جميع إصدارات Java 7 ، بما في ذلك Java 7 Update 21 الذي تم إصداره من قبل Oracle في يوم الثلاثاء الماضي ، وحزمة JRE الجديدة الخاصة بالخادم التي تم إصدارها في نفس الوقت.

كما يوحي الاسم ، خادم JRE هو إصدار من Java Runtime Environment المصممة لعمليات نشر خادم Java. وفقًا لـ Oracle ، لا يحتوي الخادم JRE على المكون الإضافي لمتصفح Java ، وهو هدف متكرر للمآثر المستندة إلى الويب أو مكون التحديث التلقائي أو المثبت الموجود في حزمة JRE العادية.

[المزيد من القراءة: How إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

على الرغم من أن أوراكل تدرك أن ثغرات جافا يمكن استغلالها أيضًا في عمليات نشر الخادم من خلال توفير المدخلات الضارة إلى واجهات برمجة التطبيقات (واجهات برمجة التطبيقات) في المكونات المعرضة للخطر ، فقد كانت رسالتها عمومًا هي أن غالبية جافا نقاط الضعف تؤثر فقط على المكونات الإضافية لمتصفح جافا أو أن سيناريوهات الاستغلال لعيوب جافا على الخوادم غير محتملة ، قال جودياك الثلاثاء عبر البريد الإلكتروني.

"حاولنا أن نجعل المستخدمين يدركون أن ادعاءات أوراكل كانت غير صحيحة فيما يتعلق بتأثير جافا نقاط الضعف SE ، "وقال Gowdiak. "لقد أثبتنا أن الأخطاء التي تم تقييمها من قبل Oracle والتي تؤثر على المكونات الإضافية لجافا يمكن أن تؤثر على الخوادم أيضًا."

في فبراير ، نشرت Security Explorations دليلا على إثبات فاعليتها لثغرة Java المصنفة على أنها plug-in وقال غودياك: "كان من الممكن استخدام هذا الهجوم لمهاجمة جافا على الخوادم باستخدام بروتوكول RMI (استدعاء النظام عن بعد)". وقال إن أوراكل خاطب متجه هجومية RMI في تحديث جافا الأسبوع الماضي ، لكن هناك طرق أخرى للهجوم على نشر Java على الخوادم.

لم يتحقق الباحثون في الاستكشافات الأمنية من الاستغلال الناجح للثغرة الجديدة التي وجدوها ضد خادم JRE ، إلا أنها أدرجت Java APIs والمكونات التي يمكن استخدامها لتحميل أو تنفيذ Java البرمجية غير الموثوق بها على الخوادم.

إذا كان متجه الهجوم موجودًا في أحد المكونات المذكورة في المبدأ التوجيهي 3-8 من إرشادات Secure Coding الخاصة بـ Oracle لغة البرمجة ، يمكن أن تنتشر عمليات نشر خادم جافا من خلال ثغرة أمنية مثل تلك التي تم الإبلاغ عنها يوم الاثنين إلى أوراكل ، حسبما قال جودياك.

تناول الباحث الطريقة التي تم بها تطبيق Reflection API ومراجعتها لمشاكل الأمان في Java 7 ، لأن المكون كان مصدر العديد من نقاط الضعف حتى الآن. وقال جودياك: "إن واجهة برمجة تطبيقات الانعكاس لا تناسب نموذج أمان Java بشكل جيد للغاية ، وإذا تم استخدامها بشكل غير صحيح ، يمكن أن تؤدي بسهولة إلى مشكلات أمنية."

هذا العيب الجديد هو مثال نموذجي لضعف انعكاس واجهة برمجة التطبيقات. وقال إن هذه الثغرة لا ينبغي أن تكون موجودة في شفرة Java 7 بعد عام واحد من ظهور مشكلة أمنية عامة تتعلق ببروتوكول الإنعكاس API تم الإبلاغ عنها لأوراكل بواسطة Security Explorations.