Oracle пуска java 7 актуализация 11 за кръпка критични грешки

Oracle пусна аварийна актуализация, за да затвори сериозна грешка в защитата на Java, която вече се използва от нападателите, за да нахлуят в потребителски компютри.

Патчът, който е извън лентата, адресира наскоро откритата критична уязвимост в Java 7 на Oracle, заяви Oracle в своя съвет за сигурност, публикуван на 13 януари. Нападателят би използвал най-новия недостатък, като измами потребителите в посещение на уебсайт, който изпълнява злонамерен аплет. На потребителите се препоръчва незабавно да се актуализират до Java 7 Update 11.

Java 7 Update 11 смекчава както CVE-2013-0422 (най-новата уязвимост), така и CVE-2012-3174, по-стара грешка при изпълнение на отдалечен код, датираща от миналия юни. И двата недостатъка получиха Обща система за оценка на уязвимостта от 10, максималният възможен резултат по тази скала. В този пластир Oracle затвори недостатъка и също промени начина, по който Java взаимодейства с уеб приложенията.

"Нивото на защита по подразбиране за Java аплети и приложения за стартиране в мрежата е повишено от" средно "на" високо ", се казва в Oracle.

Това означава, че потребителят винаги ще бъде подканван, преди да може да се стартира неподписан Java аплет или приложение за уеб старт. Преди това Java аплети и приложения стартираха автоматично, когато потребителите са инсталирали последната версия на Java. С настройката "високо" потребителят винаги се предупреждава, преди да се стартира всяко неподписано приложение, така че нападателите да не могат да стартират безшумни атаки, заяви Oracle.

Патч извън лентата

Спешна лепенка от Oracle е необичайна. Компанията обикновено кръпва Java на тримесечен цикъл, но вероятно пусна тази корекция извън лентата, тъй като кодът за атака, използващ тази уязвимост, вече е добавен към няколко популярни комплекта за експлоатация, включително "Blackhole" и "NuclearPack." Комплектите за криминалистика улесняват престъпниците да заразят компютрите със злонамерен софтуер и да превземат машините за собствените си опасни цели. Изследователите вече са разкрили уебсайтове, работещи с кода, въпреки че в момента не се знае колко потребители вече са били компрометирани.

Oracle по-рано пусна патч извън лентата миналата есен, след като изследователите разкриха подобен недостатък в отдалеченото изпълнение.

Засяга Java в уеб браузърите, а не на работния плот

Важно е да запомните, че двете уязвими места за изпълнение на отдалечен код, фиксирани в тази актуализация, са „приложими само за Java в уеб браузъри, защото са експлоатируеми чрез злонамерени аплети за браузъри“, написа Ерик Морис, директор за осигуряване на софтуерната сигурност на Oracle в блога за осигуряване на сигурността на софтуера на Oracle, Ако не посещавате редовно уебсайтове, на които работи Java, си струва да деактивирате приставката за Java в браузъра си. Ето стъпка по стъпка инструкции как да деактивирате Java от Neil Rubenking на SecurityWatch.

Много настолни приложения и популярни игри (Minecraft, някой?) Използват Java, но локалният Java клиент не е атакуван.

"Тези уязвимости не засягат Java на сървъри, настолни приложения на Java или вградена Java", написа Морис.