نشر باحث أمني تحليل واستغلال علني لثغرة اكتشفت من مدّة في Java Runtime Environment وأصابت عدّة اصدارات من Java SE و Java for Business. تمّكن هذه الثغرة المهاجم من اختراق النظام عن طريق المتصفح بعد توجيه المستخدم لصفحة تحتوي على Java Applet تم برمجته بطريقة خاصة لاستغلال خطئ في طريقة تعامل جافا مع الملفات الصوتية.

Java

 

أصابت هذه الثغرة عدّة اصدارات ما قبل JDK, JRE 6 Update 19 من Java SE بالاضافة لـ JDK و JRE 6, 5 و 1.4.2 من Java for Business كما أن كل من أنظمة Windows, Linux وحتى Solaris معرّضين للاختراق عن طريق هذه الثغرة.

يعود سبب الثغرة لوجود خطئ برمجي في أساس لغة Java اكتشف في المكوّن المسؤول عن التعامل مع الملفات الصوتية MixerSequencer والتي تكون بامتداد MIDI.

الجدير بالذكر أن هذه هي ثاني مرّة تنشر تفاصيل ثغرة اكتشفت في Java بشكل علني وبخطورة تمكّن المهاجم من اختراق جهاز المستخدم عن بعد, فلقد اكتشف الشهر الماضي ثغرة سببها Java Deployment Toolkit. مع العلم أن Java Runtime Environment عرفت لمدّة طويلة بثباتها وأمانها ويعتقد الكثيرون أنها آمنة من الثغرات أمثال Buffer Overflow لكن كما وضّح مكتشف الثغرة أن أساس لغة جافا مكتوب بلغة C أيضاً وهذا يعني أنها معرضة لهذه النوعية من الثغرات مثلها مثل أي برنامج تم برمجته بلغة سي.

للحماية من هذه الثغرة كل ما يجب القيام به هو التأكد من وجود اصدار أحدث من JRE 6 Update 18 وتحديث جافا في النظام لآخر اصدار متوفّر, فلقد قامت شركة Oracle مسبقاً بتوفير ترقيع لهذه الثغرة وللعديد من الثغرات الأخرى بشهر مارس (أذار) الماضي أما الاستغلال وتحليل الثغرة فانتشر قبل بضعة أيام فقط بشكل كامل وعلني.

 

لمزيد من المعلومات: Oracle Java Advisory (March 2010) –  Vreugdenhil Research

الاستغلال المتوفّر: Java MixerSequencer Remote Code Execution

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn