Будинки Securitywatch Oracle випускає оновлення Java 7 для виправлення критичних помилок

Oracle випускає оновлення Java 7 для виправлення критичних помилок

Відео: Oracle SQL Developer Data Modeler 19.4 Installation on Windows 10 using Oracle JDK 11 (Листопад 2024)

Відео: Oracle SQL Developer Data Modeler 19.4 Installation on Windows 10 using Oracle JDK 11 (Листопад 2024)
Anonim

Oracle випустив екстрене оновлення, щоб закрити серйозну помилку безпеки на Java, яку зловмисники вже використовували для вторгнення в комп'ютери користувачів.

Патч поза межами діапазону вирішує нещодавно виявлену критичну вразливість у Java 7 від Oracle, повідомляє Oracle у своїх рекомендаціях щодо безпеки, опублікованих 13 січня. Зловмисник скористається останнім недоліком, вводячи користувачів у відвідування веб-сайту зі зловмисним аплетом. Користувачам рекомендується негайно оновити Java 7 Update 11.

Java 7 Update 11 пом'якшує як CVE-2013-0422 (остання вразливість), так і CVE-2012-3174, старішу помилку виконання віддаленого коду, яка починається з червня минулого року. Обидва недоліки отримали загальну систему оцінювання вразливості - 10, максимально можливий бал за цією шкалою. У цьому патчі Oracle закрив недолік, а також змінив взаємодію Java з веб-додатками.

"Рівень безпеки для аплетів Java та додатків веб-запуску за замовчуванням збільшено з" середнього "до" високого ", - сказано в дорадчій Oracle.

Це означає, що користувачеві завжди буде запропоновано перед запуском непідписаного аплету Java або додатка Web Start. Раніше аплети та програми Java запускалися автоматично, якщо для користувачів була встановлена ​​остання версія Java. Завдяки налаштуванню "високий" користувач завжди попереджається перед запуском будь-якого непідписаного додатку, щоб зловмисники не змогли запускати безшумні атаки, сказав Oracle.

Патч поза діапазоном

Аварійний патч від Oracle незвичний. Зазвичай компанія виправляє Java на щоквартальному циклі, але, ймовірно, випустила це виправлення поза межами діапазону, оскільки код атаки, що використовує цю вразливість, уже доданий до кількох популярних наборів для експлуатації, включаючи «Blackhole» та «NuclearPack». Набори кримінального програмного забезпечення полегшують злочинцям зараження комп'ютерів зі шкідливим програмним забезпеченням та заволодіння машинами для власних недобрих цілей. Дослідники вже розкрили веб-сайти з кодом, хоча наразі невідомо, скільки користувачів уже піддаються компрометації.

Раніше Oracle випустив патч поза діапазоном минулої осені після того, як дослідники виявили подібний недолік віддаленого виконання.

Впливає на Java у веб-браузерах, а не на робочому столі

Важливо пам’ятати, що дві вразливості виконання віддаленого коду, виправлені в цьому оновлення, «застосовні лише до Java у веб-браузерах, оскільки вони можуть бути використані через шкідливі апплети браузера», - написав Ерік Моріс, директор із забезпечення безпеки програмного забезпечення Oracle у блозі забезпечення безпеки Oracle Software . Якщо ви не регулярно відвідуєте веб-сайти, на яких працює Java, варто вимкнути плагін Java у своєму браузері. Ось покрокові інструкції, як відключити Java від Neil Rubenking SecurityWatch.

Багато настільних додатків та популярних ігор (Minecraft, хтось?) Використовують Java, але локальний клієнт Java не піддається атаці.

"Ці вразливості не впливають на Java на серверах, настільних додатках Java або вбудованій Java", - написав Моріс.

Oracle випускає оновлення Java 7 для виправлення критичних помилок