• Alerta

Vulnerabilidade no Oracle Java 7

O CERT.Bahia gostaria de alertar a todos sobre uma importante falha de segurança no ambiente de execução do Java 7, que pode permitir ao atacante executar comandos arbitrários em um sistema vulnerável. Abaixo mais informações sobre essa vulnerabilidade:

• Título: Java JRE 1.7 da Oracle permite que código não confiável configure arbitrariamente permissões no Gerenciador de Segurança (Security Manager) do Java
• Data de divulgação: 27 de agosto de 2012
• Link original da vulnerabilidade: http://www.kb.cert.org/vuls/id/636312

Sistemas afetados

Qualquer sistema usando Oracle Java 7 (1.7.1, 1.7.0), incluindo:

• Java Platform Standard Edition 7 (Java SE 7)
• Java SE Development Kit (JDK 7)
• Java SE Runtime Environment (JRE 7)

Os navegadores que usam o plugin do Java 7 estão todos altamente vulneráveis (Internet Explorer, Firefox, Opera, Chrome).

Descrição

Uma vulnerabilidade no Gerenciador de Segurança do Java (Java Security Manager 1) permite que um applet Java conceda privilégios a ele mesmo para execução de comandos arbitrários do sistema operacional. Um atacante poderia usar técnicas de engenharia social para aliciar um usuário a visitar um link para um site web hospedando um applet malicioso.

Qualquer navegador usando o plugin Java 7 está afetado.

Relatórios indicam que esta vulnerabilidade está sendo ativamente explorada e códigos de exploração estão publicamente disponíveis.

Vale ressaltar que essa vulnerabilidade não leva o navegador a um estado de falha (crash), o que NÃO significa que ele não funciona, a página que contém o applet malicioso geralmente parece com uma página em branco, algumas vezes pode-se visualizar uma animação em flash com o logo do Java rotacionando com a palavra “Carregando…”.

Impacto

Ao convencer uma vítima a carregar um applet malicioso, o atacante poderia executar comandos arbitrários no sistema operacional de um sistema vulnerável, com os privilégios do processo do plugin do Java.

Correções disponíveis

A Oracle ainda não divulgou patch de segurança para correção dessa vulnerabilidade. Assim, como medidas paliativas, temos as seguintes ações:

Desabilitar o plugin do Java.

Desabilitar o plugin do Java no navegador web previne que applets Java (possivelmente maliciosos) executem. Abaixo algumas instruções para navegadores mais comuns:

• Apple Safari: Como desativar o Java Plug-in da web no Safari
• Firefox: How to turn off Java applets
• Chrome: Veja a seção “Desativar plug-ins específicos” da documentação de Plug-ins do Chrome para como desabilitar Java no Chrome
• Windows Internet Explorer: No Painel de Controle do Windows, abra o item Java. Selecione a aba “Java” e clique no botão “Visualizar”. Desmarque a opção “habilitado” para qualquer versão JRE listada. Note que este método pode não funcionar no Windows Vista ou sistemas mais recentes. Como uma alternativa, você pode usar uma das seguintes técnicas (apenas para usuários avançados, solicite ajuda a um técnico):
  • Mude o valor do registro HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\<version>\UseJava2IExplorer para 0, onde é qualquer versão do Java no seu sistema. Por exemplo, 10.6.2. Se você estiver executando uma versão 32-bits do Java em uma plataforma 64-bits, você deve configurar o valor do registro HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\<version>\UseJava2IExplorer para 0.
  • Execute o javacpl.exe como administrador, clique na aba “Avançado”, selecione “Microsoft Internet Explorer” na seção “Java padrão para Navegadores”, e pressione a barra de espaço para desmarcar ele. Isto irá configurar apropriadamente as chaves de registro acima.

Usar o plugin NoScript

Existe uma extensão do Mozilla Firefox chamada NoScript que pode ser usado para mitigar esse problema. Através dessa extensão é possível especificar uma lista de sites permitidos a executar scripts e o applet Java. Dessa forma seu sistema não fica exposto a executar um applet Java de qualquer site, inclusive os possivelmente maliciosos. Para mais informações, veja a FAQ da extensão NoScript.

Referências

• Vulnerability Note VU#636312
• Zero-Day Season is Not Over Yet
• Let’s start the week with a new Java 0-day in Metasploit
• http://pastie.org/4594319
• The Security Manager
• Java 7 0-Day vulnerability information and mitigation
• How to disable the Java web plug-in in Safari
• How to turn off Java applets
• NoScript

Atualização

A equipe de segurança da Red Hat testou esse bug de segurança contra outras plataformas do Java e constatou que outras plataformas também estão vulneráveis: OpenJDK 7 (java-1.7.0-openjdk) e IBM Java SE 7, além do próprio Oracle Java SE 7 que notificamos acima.