home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0112.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.2 KB  |  221 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.07
  6. Original issue date: March 29, 1996
  7. Last revised: August 30, 1996
  8.               Information previously in the README was inserted
  9.               into the advisory.
  10.  
  11.               A complete revision history is at the end of this file.
  12.  
  13. Topic: Weaknesses in Java Bytecode Verifier
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center has received reports of weaknesses in the
  17. bytecode verifier portion of Sun Microsystems' Java Development Kit (JDK)
  18. versions 1.0 and 1.0.1. The JDK is built into Netscape Navigator 2.0 and 2.01.
  19. We have not received reports of the exploitation of this vulnerability.
  20.  
  21. When applets written with malicious intent are viewed, those applets can
  22. perform any operation that the legitimate user can perform on the machine
  23. running the browser. For example, a maliciously written applet could remove
  24. files from the machine on which the browser is running--but only if the
  25. legitimate user could also.
  26.  
  27. Problem applets have to be specifically written with malicious intent, and
  28. users are at risk only when connecting to "untrusted" web pages. If you use
  29. Java-enabled products on a closed network or browse the World Wide Web but
  30. never connect to "untrusted" web pages, you are not affected.
  31.  
  32. The CERT staff recommends disabling Java in Netscape Navigator and not using
  33. Sun's appletviewer to browse applets from untrusted sources until patches are
  34. available from these vendors. We further recommend upgrading to Netscape 2.02
  35. but still disabling Java and JavaScript if you don't need these programs.
  36.  
  37. We will update this advisory as we receive additional information.
  38. Please check advisory files regularly for updates that relate to your site.
  39.  
  40. - -----------------------------------------------------------------------------
  41.  
  42. I.   Description
  43.  
  44.      The Java Programming Language is designed to allow an executable
  45.      computer program, called an applet, to be attached to a page viewable
  46.      by a World Wide Web browser. When a user browsing the Web visits that
  47.      page, the applet is automatically downloaded onto the user's machine
  48.      and executed, but only if Java is enabled.
  49.  
  50.      It is possible for an applet to generate and execute raw machine code
  51.      on the machine where the browser is running. This means that a
  52.      maliciously written applet can perform any action that the legitimate
  53.      user can perform; for example, an applet can read, delete, or change
  54.      files that the user owns. Because applets are loaded and run
  55.      automatically as a side-effect of visiting a Web page, someone could 
  56.      "booby-trap" their Web page and compromise the machine of anyone visiting
  57.      the page. This is the problem described in the Wall Street Journal on
  58.      March 26, 1996 ("Researchers Find Big Security Flaw in Java Language," by
  59.      Don Clark).  
  60.  
  61.      Note: The security enhancements announced by Sun Microsystems in
  62.            JDK version 1.0.1 and by Netscape Communications in Netscape
  63.            Navigator version 2.01 do *not* fix this flaw.
  64.  
  65. II.  Impact
  66.  
  67.      If Java is enabled and a Web page containing a maliciously written
  68.      applet is viewed by any of the vulnerable browsers or Sun's appletviewer,
  69.      that applet can perform any operation that the legitimate user can
  70.      perform. For example, the applet could read, delete, or in other ways
  71.      corrupt the user's files and any other files the user has access to, such
  72.      as /etc/passwd. 
  73.  
  74.  
  75. III. Solution
  76.  
  77.      We recommend obtaining vendor patches as soon as they become available.
  78.      Until you can install the patches, we urge you to apply the workarounds
  79.      described below.
  80.  
  81.      A. Java Development Kit users 
  82.  
  83.         Sun reports that source-level fixes will be supplied to source
  84.         licensees in the next few days. The fixes will also be included in
  85.         the next JDK version, v1.0.2, which will be released within the next
  86.         several weeks. 
  87.  
  88.         The JDK itself is a development kit, and it can safely be used to
  89.         develop applets and applications. If you choose to use the
  90.         appletviewer as a rudimentary browser, do not use it to browse
  91.         applets from untrusted sources until you have installed the v1.0.2
  92.         browser. 
  93.  
  94.  
  95.      B. Netscape users 
  96.  
  97.         Upgrade to Netscape version 2.02, which addresses the Java Bytecode
  98.         Verifier problems discussed in the advisory.
  99.  
  100.         Until you can do so, if you use Netscape 2.0 or 2.01, disable Java
  101.         using the "Security Preferences" dialog box. You do not need to
  102.         disable JavaScript as part of this workaround.
  103.  
  104.         After you update to version 2.02, you should still disable Java and
  105.         JavaScript if these programs are not being used.  (This also applies
  106.         to Netscape Version 3.0b4.)  Note that in order to display Netscape's
  107.         home page, you must have JavaScript enabled. 
  108.     
  109.         For the latest news about fixes for Netscape Navigator, consult
  110.         the following for details:
  111.  
  112.                 http://home.netscape.com/
  113.  
  114.         Netscape 2.02 and additional information about it are available from
  115.  
  116.               http://home.netscape.com/eng/mozilla/2.02/relnotes/
  117.  
  118.  
  119.  
  120. IV.  Information for HotJava (alpha3) users
  121.  
  122.      Sun Microsystems has provided the following information for users of
  123.      HotJava (alpha3). 
  124.  
  125.           Sun made available last year a demonstration version of a browser
  126.           called "HotJava." That version (alpha3) is proof-of-concept 
  127.           software only, not a product. HotJava (alpha3) uses an entirely
  128.           different security architecture from JDK 1.0 or JDK 1.0.1. It will
  129.           not be tested for any reported security vulnerabilities that it
  130.           might be susceptible to, and Sun neither supports it nor recommends
  131.           its use as a primary browser. When HotJava is released as a product,
  132.           it will be based on an up-to-date version of the JDK and fully
  133.           supported. 
  134.  
  135. V.  Information for Macintosh users
  136.  
  137.     Macintosh version 2.01 does not support Java, so there is nothing to
  138.     disable as part of the solution to the problems described in this
  139.     advisory.
  140.  
  141.  
  142. - ---------------------------------------------------------------------------
  143. The CERT Coordination Center thanks Drew Dean, Ed Felten, and Dan Wallach of
  144. Princeton University for providing information for this advisory. We thank
  145. Netscape Communications Corporation and Sun Microsystems, Inc. for their
  146. response to this problem.
  147. - ---------------------------------------------------------------------------
  148.  
  149. If you believe that your system has been compromised, contact the CERT
  150. Coordination Center or your representative in the Forum of Incident
  151. Response and Security Teams (FIRST).
  152.  
  153. We strongly urge you to encrypt any sensitive information you send by email.
  154. The CERT Coordination Center can support a shared DES key and PGP. Contact the
  155. CERT staff for more information. 
  156.  
  157. Location of CERT PGP key
  158.          ftp://info.cert.org/pub/CERT_PGP.key
  159.  
  160. CERT Contact Information
  161. - ------------------------
  162. Email    cert@cert.org
  163.  
  164. Phone    +1 412-268-7090 (24-hour hotline)
  165.                 CERT personnel answer 8:30-5:00 p.m. EST
  166.                 (GMT-5)/EDT(GMT-4), and are on call for
  167.                 emergencies during other hours.
  168.  
  169. Fax      +1 412-268-6989
  170.  
  171. Postal address
  172.         CERT Coordination Center
  173.         Software Engineering Institute
  174.         Carnegie Mellon University
  175.         Pittsburgh PA 15213-3890
  176.         USA
  177.  
  178. CERT publications, information about FIRST representatives, and other
  179. security-related information are available for anonymous FTP from
  180.         http://www.cert.org/
  181.         ftp://info.cert.org/pub/
  182.  
  183. CERT advisories and bulletins are also posted on the USENET newsgroup
  184.         comp.security.announce
  185.  
  186. To be added to our mailing list for CERT advisories and bulletins, send your
  187. email address to
  188.         cert-advisory-request@cert.org
  189.  
  190.  
  191. Copyright 1996 Carnegie Mellon University
  192. This material may be reproduced and distributed without permission provided it
  193. is used for noncommercial purposes and the copyright statement is included.
  194.  
  195. CERT is a service mark of Carnegie Mellon University.
  196.  
  197.  
  198. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  199. Revision history
  200.  
  201. Aug. 30, 1996  Information previously in the README was inserted into the
  202.                advisory.  
  203. June 26, 1996  Introduction - added a note about Netscape 2.02.
  204.                Sec. III.B - added a pointer to Netscape 2.02 and a
  205.                recommendation about disabling Java and JavaScript.
  206. Apr. 1, 1996   Sec. III.B - added a note about viewing Netscape's home page. 
  207.                Sec. V - added this section for Macintosh users.
  208.              
  209.  
  210.  
  211. -----BEGIN PGP SIGNATURE-----
  212. Version: 2.6.2
  213.  
  214. iQCVAwUBMiTBgXVP+x0t4w7BAQFOyAP/WEd4vyTbmN7yStbVmuqC89Gk+LCH2k4W
  215. QBNldVjngr5QSleNDOEjP92LbE4/Q7jcAiDTHhcIvobWFFSM0jmnY8w3TcHOk6Qv
  216. kbv9Jxg4kfjiBwgKDVuevNlgZ0QDHEIlcYmAbMwVeZe/IXTQHL+UI21u1UvVmNu2
  217. vbuoheIONNM=
  218. =gWQv
  219. -----END PGP SIGNATURE-----
  220.  
  221.