Java obsahuje vážnou bezpečnostní díru, přes kterou hackeři nepozorovaně útočí na počítače. Varování vydala i americká vláda

Programovací platformu Java sužuje vážná zero-day zranitelnost. Útočníci cílí na počítače po celém světě a odborníci mají za to, že útoky na systémy s Javou, která běží na miliardách zařízení, budou eskalovat v nadcházejících dnech. Proto americká vláda vydala doporučení, aby uživatelé na svých systémech Javu deaktivovali. Nebezpečí spojené s objevenou dírou vedlo společnost Apple, aby tento software uživatelům potichu sama deaktivovala.

Společnost Oracle, jež nyní po převzetí firmy Sun Microsystems Javu vyvíjí, reagovala na varování amerického ministerstva domácí bezpečnosti ještě v pátek vydáním vlastní zprávy, v níž uživatelům a správcům radí, aby Javu (ve verzi 7) na svých systémech vypnuli a odinstalovali -- a nepoužívali ji do doby, než firma vydá opravenou verzi. Kdy však nová verze vyjde, není jasné – Oracle mluví vágně o tom, že oprava se objeví „brzy“.

Oracle dále uvádí, že chyba ohrožuje jen systémy s nejnovější, sedmou řadou Javy, takže přístroje se starší verzí jsou (relativně) v bezpečí. Útočníci díru zneužívají prostřednictvím internetových prohlížečů (přes Java plugin), načež do systémů instalují další malware. To vedlo společnost Apple k tomu, že prostřednictvím vlastního zabezpečovacího softwaru uživatelům v tichosti Javu deaktivovala. Ostatně vztah mezi Applem a firmou Oracle skřípe už několik let, a to právě kvůli velkému počtu objevených bezpečnostních chyb a přístupu Oraclu k jejich opravám. Například v roce 2010 Apple odstranil Javu i z výchozí instalace operačního systému Mac OS X Lion.

Zjištěny byly už poměrně frekventované útoky jak na domácí, tak i korporativní počítače, kdy přes zranitelnost byl nainstalován další škodlivý software -- například v těchto dnes se často skloňuje tzv. ransomware, což je typ malwaru, který po instalaci do napadeného počítače blokuje uživateli přístup k programům a datům, dokud nezaplatí za „řešení“. Hackeři varují, že útočníci mohou také z napadených přístrojů vytvořit tzv. zobie počítače (součásti botnetu) nebo krást osobní a jiná citlivá data.

Prozatímním řešením je Javu zakázat, popř. jak radí Oracle, ji odinstalovat.

Aktualizováno: V noci, chvíli po vydání článku, společnost Oracle vydala potřebnou opravu. Novou verzi stahujte přímo ze stránek Javy. 

14. 1. 2013

Autor: Redakce DSL.cz