Video: Java 5, 6, 7, 8, 9, 10, 11: What Did You Miss? (November 2024)
Oracle je izdal nujno posodobitev, da bi na Javi zaprl resno napako v varnosti, ki so jo napadalci že uporabljali za vdor v uporabniške računalnike.
Opaka zunaj pasu obravnava nedavno odkrito kritično ranljivost v Java Oracle Java 7, Oracle je dejal v svojem varnostnem nasvetu, objavljenem 13. januarja. Napadalec bi izkoristil zadnjo napako tako, da bi uporabnike izvabil v obisk spletnega mesta z zlonamernim programčkom. Uporabnikom svetujemo, naj nemudoma posodobijo na Java 7 Update 11.
Java 7 Update 11 ublaži tako CVE-2013-0422 (najnovejšo ranljivost) kot tudi CVE-2012-3174, starejšo napako pri oddaljenem izvajanju kode, ki sega od lanskega junija. Obe napaki sta prejeli oceno skupnega sistema ocenjevanja ranljivosti 10, kar je največja možna ocena na tej lestvici. Oracle je v tem popravku odpravil napako in spremenil tudi način interakcije Java s spletnimi aplikacijami.
"Privzeta raven varnosti Java aplikacij in aplikacij za zagon spletnega zagona je bila z" srednje "na" visoka "povečana, " je v svetovalnici dejal Oracle.
To pomeni, da bo uporabnik vedno pozvan, preden se lahko zažene nepodpisan programček Java ali spletna aplikacija. Pred tem so se Java aplikacije in programi samodejno izvajali. Uporabniki so imeli nameščeno najnovejšo različico Jave. Z nastavitvijo "visoke" je uporabnik vedno opozorjen, preden se zažene vsaka nepodpisana aplikacija, tako da napadalci ne bodo mogli izvesti tihih napadov, je dejal Oracle.
Out-of-Band Patch
Zaslon iz Oracle je nenavaden. Podjetje ponavadi na četrtletni cikel popravi Javo, vendar je verjetno sprostilo to zunajpopolno popravilo, ker je bila koda napada, ki izkorišča to ranljivost, že dodana v številne priljubljene komplete izkoriščanja, vključno z "Blackhole" in "NuclearPack." Krimware kompleti kriminalcem olajšajo okužbo računalnikov z zlonamerno programsko opremo in prevzemanje naprav za lastne zlobne namene. Raziskovalci so že odkrili spletna mesta s kodo, čeprav trenutno ni znano, koliko uporabnikov je že ogroženih.
Oracle je prejšnjo jesen že izdal zunanji pas, potem ko so raziskovalci odkrili podobno napako v oddaljenem izvajanju.
Vpliva na Javo v spletnih brskalnikih, ne na namizju
Pomembno si je zapomniti, da sta dve ranljivosti izvajanja oddaljene kode, odpravljeni v tej posodobitvi, "uporabni samo za Java v spletnih brskalnikih, ker jih je mogoče izkoristiti z zlonamernimi programski brskalniki, " je Eric Maurice, direktor za zagotavljanje varnosti programske opreme Oracle, zapisal na blogu Oracle Software Security Assurance Blog. Če ne dostopate redno do spletnih mest, ki poganjajo Java, je vredno vtičnika Java onemogočiti v svojem brskalniku. Tu so navodila po korakih, kako Java onemogočiti iz Neil Rubenkinga SecurityWatch-a.
Mnoge namizne aplikacije in priljubljene igre (Minecraft, kdo?) Uporabljajo Java, vendar lokalni odjemalec Java ni napaden.
"Te ranljivosti ne vplivajo na Javo na strežnikih, namiznih aplikacijah Java ali vdelani Java, " je zapisal Maurice.