Domov Varnostna ura Posodobitev varnosti Mammoth java prinaša 51 bistvenih popravkov

Posodobitev varnosti Mammoth java prinaša 51 bistvenih popravkov

Video: How generate MS Doc file dynamically using java (November 2024)

Video: How generate MS Doc file dynamically using java (November 2024)
Anonim

Junija smo vam povedali, kako se je Oracle zavezal, da bo z Javo naredil boljše in da bo platformo pogosteje posodabljal. To je bil temeljni kamen za vrsto neprijetnih epizod, kjer se Java vedno znova uporablja za napad na uporabnike. Oracle je ta teden izdal prvo od nove serije posodobitev Java, za katere upajo, da bodo tri milijarde naprav, ki poganjajo njihov izdelek, bolj varne. To bi lahko bilo res, toda posodobitev je grozljivo velika z enako grozljivimi posledicami.

Hitrejše krpanje

Prej je bila Java posodobljena trikrat na leto, vendar se bo od tega tedna naprej posodabljala četrtletno, skupaj z ostalimi izdelki Oracle kot del njihove kritične posodobitve Patch ali CPU (vidim, kaj ste tam storili, Oracle).

V celoti posodobitev vključuje 127 varnostnih popravkov. Od tega jih je 51 namenjenih Javi in ​​- tukaj je strašljiv del - 50 teh ranljivosti je po besedah ​​Oracle "mogoče izkoristiti na daljavo brez preverjanja pristnosti."

Ampak oh, postane boljše. Na blogu Qualys CTO Wolfgang Kandek piše "12 ranljivosti z najvišjo oceno CVSSv2 od 10, kar kaže, da je mogoče te ranljivosti uporabiti za popoln nadzor nad napadenim strojem preko omrežja, ne da bi za to potrebovali preverjanje pristnosti." Nadalje poudarja, da večina posodobitev vpliva na uporabnike prenosnih računalnikov in namiznih računalnikov (npr. Vi, to berete, prav zdaj), vendar obstajata dve zelo kritični posodobitvi, ki sta povezani s namestitvijo strežnika.

Čas za posodobitev!

Večina uporabnikov bo verjetno prejemala posodobitve samodejno, vendar pa je Oracle zagotovil koristno stran za preverjanje, katero različico uporabljate. Če zazna zastarelo namestitev, vas bo pozval, da prenesete in namestite posodobitev. Upoštevajte, da je najnovejša različica tega tedna posodobitev Java 7.

Kmalu bom poskušal, da uporabnike opozorim, naj bodo zelo previdni pri ročnem posodabljanju Jave, ker vas bo skušal prepričati, da namestite orodno vrstico Ask.com in svoj privzeti iskalnik spremenite v Vprašaj.

Premalo?

Čeprav je dobro, da Oracle povečuje svojo varnostno igro, pa niso vsi navdušeni nad potezo Oracle. Sophosov višji svetovalec za varnost Chester Wisniewski je na blogu svojega podjetja zapisal, da se to zdi preveč prepozno. "Če je vaš ugled tako slab in izpostavljate več kot milijardo uporabnikov svojim napakam, se morate hitreje odzvati."

Wisniewski je nadaljeval z namigovanjem, da so prednostne naloge Oracle neskladne, in je imel drznost napasti ladjo z blagovno znamko Oracle, Larry Ellison, ki je nedavno osvojila pokal Amerike. "Nagrado postavite na polico v preddverju, prodajte deset milijonov dolarjev čoln in najemite inženirje, potrebne za posodobitev ciklusa popravkov Java mesečno z rezervnimi gotovinami, " je napisal Wisniewski. "3+ milijard naprav se vam bo zahvalilo."

Posodobitev namestitve Java je najboljši način, da se zaščitite pred napadi, ki temeljijo na Javi, ki so sestavljeni iz številnih kompletov izkoriščanja in jih napadalci pogosto uporabljajo. Seveda lahko vedno vtaknete vtič in onemogočite Java.

Posodobitev varnosti Mammoth java prinaša 51 bistvenih popravkov