Уязвимость в Java Deployment Toolkit
Удобство пользования часто вредит безопасности. Например, установка во входную дверь удобного маленького замка часто приводит к быстрому её вскрытию квартирными ворами. Я уж не говорю что легко запоминающийся код от сейфа с деньгами может повлечь за собой потерю всего его содержимого.
То же самое и с программным обеспечением. Удобство авторизации сказывается на безопасности системы в целом. Но не только в авторизации дело. Такие продвинутые сервисы как автоматическое обновление ПО так же таит в себе серьёзную угрозу. Получив доступ к серверу обновлений, злоумышленник может совершенно спокойно установить на миллионы компьютеров зловредное программное обеспечение.
И вот недавно в Java нашли дыру связанную с очередной попыткой облегчить пользователю жизнь. Ошибка обнаружена в Java Deployment Toolkit, делающий установку приложений проще и удобнее. Смысл состоит в том, что благодаря данному плагину в JavaScript появляется объект с функцией launch(), которая в Windows транслируется в вызов javaws.exe с параметрами заданными в аргументе функции. Параметры эти не очень хорошо обрабатываются, поэтому можно, например, запустить на компьютере жертвы Java приложение.
Кроме этого, используя недокументированный параметр -XXaltjvm можно подключить к приложению любую нестандартную библиотеку. Словом, через браузер можно получить полный доступ к системе.
Oracle отнёсся к этой проблеме без лишней паники, считая что уязвимость не является уж сильно критической. но ошибку признали и пообещали исправить в следующем релизе Java. Мы же, люди близкие к IT, должны задуматься, где же всё-таки находится та грань между удобством и безопасностью и как её не перейти.
