Відео: How To Downloading & install oracle java jdk in Windows (Вересень 2024)
Oracle випустив ще одне аварійне оновлення для Java. Це третє аварійне оновлення, яке компанія випустила в 2013 році, щоб виправити проблеми з безпекою на Java, які вже використовувались в атаках.
Останні оновлення, оновлення Java 7 та оновлення Java 6, 43, адресовані CVE-2013-1493 та пов'язаної з цим вразливістю (CVE-2013-0809), повідомила Oracle у своїх рекомендаціях щодо безпеки, опублікованих у понеділок. Обидві вразливості впливають на двовимірний компонент Java SE, який обробляє графіку виконання та спосіб відображення зображень, згідно з повідомленням у блозі від Еріка Моріса, директора із забезпечення безпеки програмного забезпечення Oracle.
Усі користувачі Java повинні негайно оновити до найновіших версій, заявили в компанії.
"Ці вразливості можуть бути віддалено використані без автентифікації, тобто вони можуть використовуватися через мережу, не потребуючи імені користувача та пароля", - написав Oracle.
Зловмисники можуть виманити підозрілих користувачів у відвідуванні зловмисного коду хостингу веб-сторінок, що спровокує ці недоліки безпеки, сказав Oracle. Дослідники виявили напади в дикій природі, заражаючи користувацькі комп'ютери трояном віддаленого доступу McRAT. McRAT зв'язується з командно-керуючими серверами та копіює себе в операційну систему Windows.
Експлоатація, якщо буде успішною, "може вплинути на доступність, цілісність та конфіденційність системи користувача", - пише Oracle.
Багато оновлень, відключайте, якщо можете
Oracle оновив Java в середині січня та знову на початку лютого з аварійними оновленнями після появи повідомлень на Різдво про серію атак з стиркою, що зачіпають різні сайти. 19 лютого компанія розробила планове оновлення, яке стосується 50 помилок. Про ці два помилки було повідомлено Oracle 1 лютого, але вони не могли бути включені до оновлення 19 лютого, пише Моріс.
Враховуючи, що наступне заплановане оновлення Java відбудеться у квітні, компанія вирішила випустити позаширочний патч, оскільки недолік активно використовувався в атаках.
"Щоб допомогти зберегти позицію безпеки всіх користувачів Java SE, Oracle вирішив якнайшвидше випустити виправлення цієї вразливості та ще одну тісно пов’язану помилку", - написав Моріс.
Моріс запевнив користувачів, що проблеми існують лише у Java-програмах, що працюють у веб-браузерах, і не стосуються Java, яка працює на серверах, автономних додатків Java для настільних ПК або вбудованих додатків Java або програмного забезпечення на базі сервера Oracle. Багато експертів з питань безпеки та Команда управління комп’ютерних ситуацій з надзвичайних ситуацій (CERT) Департаменту національної безпеки рекомендують користувачам відключати плагін Java у своїх браузерах, якщо вони не користуються ним регулярно.
Якщо користувачеві потрібна Java, яка охоплює переважну більшість користувачів бізнесу та освіти, варто тримати окремий браузер із встановленим плагіном Java та використовувати цей браузер для доступу лише до цих сайтів.
"Добре бачити, як Oracle швидше реагує на критичні вразливості, але настав час минулого часу, щоб вони глибше пірнали з питаннями безпеки Java", - розповів SecurityWatch Ламар Бейлі, директор з досліджень і розробок безпеки в nCircle. "Я сподіваюся, що Oracle вже призначив команду своїх кращих інженерів з питань безпеки для попереднього вирішення будь-яких проблем безпеки Java, але до цього часу користувачі оновлюватимуть Java так само часто, як вони оновлюють підписи AV", - сказав він.
Java 6 вступила до кінця життя цього лютого, що викликає занепокоєння, чи не залишить Oracle старішу версію без змін. У цьому оновлення Oracle зафіксував Java 6, яку все ще використовують багато користувачів. Не зрозуміло, як Oracle буде обробляти патчі для Java 6 протягом наступних кількох місяців.
"Я завжди думав, що Oracle зробив хорошу роботу по забезпеченню їхніх продуктів, але нещодавній необдумані вразливості Java змушують мене втрачати віру", - сказав Бейлі, додавши, що тепер цікавиться, які серйозні проблеми безпеки є в інших продуктах Oracle .
Знайдено більше помилок Java
У постійній грі на котів та мишей оновлення Java означає, що настав час для більшого розкриття вразливості. Адам Гоудяк, голова польської дослідницької фірми Security Explorations, знайшов ще п’ять питань Java 7.
"У Java SE 7 (з номером від 56 до 60) було виявлено п'ять нових проблем безпеки, які в поєднанні разом можуть бути успішно використані для отримання повного обходу пісочниці безпеки Java у середовищі оновлення Java SE 7 15", - Гоудяк написав у понеділок на Список розсилки Bugtraq. Схоже, зловмисники зможуть використати проблеми, щоб порушити деякі перевірки безпеки, які нещодавно здійснив Oracle, сказав Гоудяк. Всі п'ять питань потрібно використовувати разом, щоб атака була успішною. Gowdiak вже представив Oracle детальну інформацію та код підтвердження концепції.
Дві проблеми також можуть стосуватися Java 6, але це не було підтверджено.
"Java виявляється даром, який продовжують дарувати зловмисникам", - сказав Ендрю Стормс, директор з операцій із безпеки в nCircle, для SecurityWatch . Він передбачив більш цілеспрямовані напади на великі корпорації та урядові установи. "Погані новини з Java просто погіршуються, і виду немає кінця", - сказав він.
