Video: Java 5, 6, 7, 8, 9, 10, 11: What Did You Miss? (Oktober 2024)
Oracle je izdal še eno posodobitev za nujne primere za Javo. To je tretja posodobitev za nujne primere, ki jo je družba izdala leta 2013, da bi odpravila težave z varnostjo na Javi, ki so jih že uporabljali v napadih.
Najnovejše posodobitve, posodobitev Java 7 in posodobitev Java 6, naslovljene na CVE-2013-1493 in s tem povezano ranljivost (CVE-2013-0809), je Oracle povedal v svojem varnostnem svetovanju, objavljenem v ponedeljek. Obe ranljivosti vplivata na dvodimenzionalno komponento Java SE, ki obdeluje grafiko izvajanja in način upodabljanja slik, piše v blogovskem prispevku Erica Maurica, direktorja za zagotavljanje programske varnosti v podjetju Oracle.
Vsi uporabniki Jave bi morali nemudoma nadgraditi na najnovejše različice, pravijo v podjetju.
"Te ranljivosti je mogoče brez dvoma preveriti, če jih je mogoče uporabiti prek omrežja, ne da bi potrebovali uporabniško ime in geslo, " je zapisal Oracle.
Napadalci lahko nagajajo nič sumljive uporabnike, da obiščejo zlonamerno kodo gostovanja spletne strani, ki sproži te pomanjkljivosti v varnosti, je dejal Oracle. Raziskovalci so odkrili napade v naravi, ki so okužili uporabniške računalnike z McRAT-ovim daljinskim dostopom. McRAT stopi v stik s strežniki ukazov in upravljanja in se sam kopira v procese operacijskega sistema Windows.
Če bodo uspešni, "lahko vplivajo na razpoložljivost, celovitost in zaupnost uporabnikovega sistema, " je Oracle zapisal.
Veliko posodobitev, če je mogoče, onemogočite
Oracle je sredi januarja in v začetku februarja posodobil Javo z nujnimi posodobitvami, ko so se pred božičem pojavila poročila o vrsti napadov v stilu luknje, ki so vplivali na različna mesta. Podjetje je 19. februarja uvedlo načrtovano posodobitev, ki je obravnavala 50 napak. O teh dveh hrostih so poročali Oracle 1. februarja, vendar jih ni bilo mogoče vključiti v posodobitev 19. februarja, je zapisal Maurice.
Glede na to, da je bila naslednja načrtovana posodobitev Java aprila, se je podjetje odločilo izdati zunanji pas, ker je napako aktivno uporabljal v napadih.
"Da bi pomagal ohraniti varnostno držo vseh uporabnikov Java SE, se je Oracle odločil, da čim prej objavi popravek za to ranljivost in še en tesno povezan hrošč, " je zapisal Maurice.
Maurice je uporabnikom zagotovil, da so težave prisotne samo v programih Java, ki se izvajajo v spletnih brskalnikih, in ne veljajo za Java, ki deluje na strežnikih, samostojnih namiznih aplikacijah Java ali vdelanih aplikacijah Java ali programsko opremo, ki temelji na strežniku Oracle. Številni strokovnjaki za varnost in Oddelek za računalniško odzivanje v nujnih primerih (CERT) priporočajo, da uporabniki v brskalnikih onemogočijo vtičnik Java, če ga ne uporabljajo redno.
Če uporabnik potrebuje Javo, ki zajema veliko večino uporabnikov podjetij in izobraževanj, je vredno imeti ločen brskalnik z nameščenim vtičnikom Java in uporabljati ta brskalnik, da dostopa samo do teh spletnih mest.
"Dobro je videti, da se Oracle hitreje odziva na kritične ranljivosti, vendar je že čas, da se poglobijo v varnostna vprašanja Jave, " je za SecurityWatch dejal Lamar Bailey, direktor varnostnih raziskav in razvoja v podjetju nCircle. "Upam, da je Oracle že dodelil ekipo svojih najboljših varnostnih inženirjev za proaktivno razbijanje katerega koli od preostalih varnostnih vprašanj Java, vendar bodo do takrat uporabniki posodabljali Java tolikokrat, ko posodabljajo podpise AV, " je dejal.
Java 6 je letos februarja vstopila v konec življenjske dobe, kar vzbuja pomisleke, ali bi Oracle pustil nepomično starejšo različico. Oracle je v tej posodobitvi zakrpal Java 6, ki jo še vedno uporabljajo številni uporabniki. Ni jasno, kako bo Oracle v naslednjih mesecih urejal popravke za Java 6.
"Vedno sem mislil, da je Oracle dobro opravil zavarovanje njihovih izdelkov, a nedavni izpuščaji ranljivosti Jave povzročajo izgubo vere, " je dejal Bailey in dodal, da se zdaj sprašuje, kakšne resne varnostne težave so v drugih izdelkih Oracle.
Najdenih več Java hroščev
V trenutni igri mačk in mišk posodobitev Jave pomeni, da je čas za večje razkritje ranljivosti. Adam Gowdiak, vodja poljskega raziskovalnega podjetja Security Explorations, je našel še pet vprašanj Java 7.
"V Java SE 7 je bilo odkritih pet novih varnostnih težav (oštevilčenih od 56 do 60), ki jih je mogoče skupaj uporabiti za pridobitev popolnega obvozja varnostnega peska Java v okolju posodobitve 15 Java SE 7, " je Gowdiak zapisal v ponedeljek na Poštni seznam Bugtraq. Kaže, da bi napadalci lahko uporabili težave, da bi zlomili nekatere varnostne preglede, ki jih je Oracle nedavno izvajal, je dejal Gowdiak. Vseh pet vprašanj je treba uporabiti skupaj, da bi napad uspel. Gowdiak je Oracle že predložil podrobne informacije in kode dokazila o konceptu.
Dve težavi lahko vplivata tudi na Java 6, vendar to še ni bilo potrjeno.
"Java se je izkazala za darilo, ki ga dajejo napadalcem, " je za SecurityWatch dejal Andrew Storms, direktor varnostnih operacij v nCircle. Napovedal je bolj usmerjene napade na večje korporacije in vladne subjekte. "Slabe novice z Java se samo še poslabšajo in na vidiku ni konca, " je dejal.
