Alguns “caçadores” de vulnerabilidades Java da empresa de segurança polonesa Security Explorations afirmam ter encontrado uma nova vulnerabilidade que afeta as versões para desktop e servidores do Java Runtime Environment (JRE).
A brecha está localizada no componente API Reflection do Java e pode ser usada para contornar por completo a sandbox (dispositivo de segurança) do software e executar um código arbitrário em computadores, disse o CEO da Security Explorations, Adam Gowdiak, na segunda-feira (22) em uma mensagem enviada ao fórum Full Disclosure.
A falha afeta todas as versões do Java 7, incluindo o Java 7 Update 21 e o novo pacote Server JRE – ambos lançados pela Oracle na última terça-feira.
Como o nome sugere, o JRE Server é uma versão do Java Runtime Environment projetado para implementações de servidor Java. De acordo com a Oracle, o Server JRE não contém o plug-in do navegador (alvo frequente de exploits baseados na web), o componente de autoatualização ou o instalador encontrado no pacote JRE regular.
Embora a Oracle esteja ciente de que as vulnerabilidades do Java também podem ser exploradas em implantações em servidores por meio do fornecimento de entrada maliciosa nas APIs (interfaces de programação de aplicativos) de componentes vulneráveis, a empresa tem respondido que a maioria das falhas do software afeta apenas o plug-in do navegador ou que os cenários de exploração de falhas em servidores são improváveis, disse Gowdiak na terça-feira, via e-mail.
“Tentamos fazer com que os usuários estejam cientes de que as alegações da Oracle estão incorretas com relação ao impacto das vulnerabilidades do Java SE”, disse Gowdiak. “Nós provamos que os erros avaliados pela Oracle como afetando apenas o plug-in podem também afetar os servidores.”
Problemas em servidores
Em fevereiro, a Security Explorations publicou um exploit prova-de-conceito para uma vulnerabilidade Java classificada como “baseada em plug-in”, que poderia ser usada para atacar o software em servidores usando o protocolo RMI (Remote Method Invocation), disse Gowdiak. A Oracle corrigiu o vetor de ataque RMI na atualização do Java na semana passada, mas existem outros métodos de atingir as implementações em servidores, disse o especialista.
Os pesquisadores em segurança da Security Explorations não verificaram se a nova vulnerabilidade contra JRE Server pode ser explorada com sucesso, mas eles listaram APIs e componentes conhecidos que poderiam ser utilizados para carregar ou executar código Java arbitrário em servidores.
Se um vetor de ataque existir em um dos componentes mencionados na Guideline 3-8 “Secure Coding Guidelines for a Java Programming Language“, então as implementações de servidor Java podem ser atacadas por meio de uma vulnerabilidade como a que foi reportada à Oracle na segunda-feira, disse Gowdiak.
Esta nova falha é um exemplo típico das fraqueza da API Reflection, disse o especialista. “A API Reflection não se encaixa muito bem no modelo de segurança do
Java e, se usados de forma inadequada, pode facilmente levar a
problemas de segurança”, disse.
Esta vulnerabilidade não deve estar presente no código Java 7, um ano após um problema de segurança genérico relacionado a API Reflection ser relatado à Oracle pela Security Explorations, disse.
