Видео: Oracle and Java tutorial. Java Stored Procedure (Септември 2024)
Oracle издаде още една спешна актуализация за Java. Това е третата актуална актуализация, която компанията пусна през 2013 г., за да коригира пропуските в сигурността на Java, които вече се използват при атаки.
Последните актуализации, актуализация на Java 7 и актуализация 43 на Java 6, адресирани към CVE-2013-1493 и свързана с тях уязвимост (CVE-2013-0809), заяви Oracle в своите препоръки за сигурност, публикувани в понеделник. И двете уязвимости засягат 2D компонента на Java SE, който обработва графики по време на изпълнение и как се изобразяват изображения, според публикация в блог от Ерик Морис, директор за осигуряване на софтуерна сигурност в Oracle.
Всички потребители на Java трябва незабавно да надстроят до най-новите версии, заявиха от компанията.
"Тези уязвимости могат да бъдат отдалечено експлоатирани без удостоверяване, т.е. могат да бъдат експлоатирани в мрежа без нужда от потребителско име и парола", пише Oracle.
Атакуващите могат да излъжат нищо неподозиращи потребители да посетят злонамерен код за хостинг на уеб страници, който задейства тези пропуски в сигурността, заяви Oracle. Изследователите откриха атаки в природата, заразили потребителски компютри с троянския тротичен дистанционен достъп на McRAT. McRAT се свързва със командно-контролни сървъри и се копира в процесите на операционната система Windows.
Експлоатациите, ако са успешни, "могат да повлияят на достъпността, целостта и конфиденциалността на системата на потребителя", пише Oracle.
Много актуализации, деактивирайте, ако можете
Oracle актуализира Java в средата на януари и отново в началото на февруари с аварийни актуализации, след като по Коледа се появиха съобщения за поредица атаки в стила на поливане, засягащи различни сайтове. Компанията въведе планирана актуализация, адресираща 50 грешки на 19 февруари. Тези две грешки бяха докладвани на Oracle 1 февруари, но не можаха да бъдат включени в актуализацията от 19 февруари, пише Морис.
Имайки предвид, че следващата планирана актуализация на Java беше през април, компанията реши да пусне патч извън лентата, тъй като недостатъкът се използва активно при атаки.
„За да помогне за поддържането на позата на сигурността на всички потребители на SE SE, Oracle реши да пусне поправка за тази уязвимост и още една тясно свързана грешка възможно най-скоро“, написа Морис.
Морис увери потребителите, че проблемите присъстват само в Java приложения, работещи в уеб браузъри, и не се отнасят за Java, работеща на сървъри, самостоятелни Java настолни приложения или вградени Java приложения или софтуер, базиран на сървър Oracle. Много експерти по сигурността и екипът на Министерството на вътрешната сигурност на компютърния екип за спешни реакции (CERT) препоръчват на потребителите да деактивират приставката за Java в своите браузъри, ако не я използват редовно.
Ако потребителят се нуждае от Java, която обхваща голяма част от потребителите на бизнес и образование, струва си да запазите отделен браузър с инсталиран плъгин за Java и да използвате този браузър за достъп само до тези сайтове.
„Хубаво е да наблюдаваме как Oracle реагира по-бързо на критичните уязвимости, но вече е минало време те да направят по-задълбочено гмуркане по проблемите на сигурността на Java“, заяви пред SecurityWatch Ламар Бейли, директор на изследванията и разработката на сигурността в nCircle. "Надявам се Oracle вече да е назначил екип от най-добрите си инженери по сигурността, които да проактивно да разграбят всички останали проблеми със сигурността на Java, но дотогава потребителите ще актуализират Java толкова често, колкото актуализират AV подписи", каза той.
Java 6 влезе в края на живота на този февруари, което създава опасения дали Oracle ще остави старата версия без опаковка или не. Oracle закърпи Java 6 в тази актуализация, която все още се използва от много потребители. Не е ясно как Oracle ще се справя с кръпки за Java 6 през следващите няколко месеца.
"Винаги съм смятал, че Oracle се справя добре с осигуряването на техните продукти, но неотдавнашният обрив на уязвимостите на Java ме кара да губя вяра", каза Бейли и добави, че сега се чуди какви сериозни проблеми със сигурността има в другите продукти на Oracle,
Намерени още Java грешки
В текуща игра на котка и мишка, актуализация на Java означава, че е време за повече разкрития на уязвимостта. Адам Гоудяк, ръководител на полската изследователска фирма Security Explorations, откри още пет броя Java 7.
"В Java SE 7 бяха открити пет нови проблема със сигурността (номерирани 56 до 60), които, когато се комбинират заедно, могат успешно да се използват за получаване на пълен байпас за безопасност на Java в среда на актуализация 15 на Java SE 7", написа Гоудиак в понеделник на Списък с пощенски адреси на Bugtraq. Изглежда, че нападателите биха могли да използват проблемите, за да прекъснат някои от проверките за сигурност, които Oracle наскоро осъществиха, каза Gowdiak. И петте проблема трябва да се използват заедно, за да успее атаката. Gowdiak вече е представил подробна информация и код за доказване на концепцията на Oracle.
Два от проблемите също могат да засегнат Java 6, но това не е потвърдено.
"Java се оказва подаръкът, който продължава да дава на нападателите", заяви Андрю Стормс, директор на операциите по сигурността в nCircle, пред SecurityWatch . Той прогнозира по-целенасочени атаки срещу големи корпорации и правителствени организации. „Лошите новини с Java просто се влошават и няма край в полезрението“, каза той.
