Videó: Substr and Instr in Oracle|Extracting data from String (November 2024)
Az Oracle sürgősségi frissítést adott ki egy komoly biztonsági hiba elhárításához a Java-ban, amelyet a támadók már használtak a felhasználói számítógépek behatolására.
A sávon kívüli javítás az Oracle Java 7 nemrégiben felfedezett kritikus sebezhetőségével foglalkozik. A felhasználóknak azt javasoljuk, hogy azonnal frissítsék a Java 7 frissítést 11.
A Java 7 Update 11 enyhíti mind a CVE-2013-0422 (a legújabb sebezhetőség), mind a CVE-2012-3174-et, egy régebbi távoli kódfuttató-hibát, amely tavaly júniusban nyúlik vissza. Mindkét hiba közös biztonsági rés pontszáma 10 volt, ez a skála a lehető legnagyobb pontszám. Ebben a javításban az Oracle lezárta a hibát, és megváltoztatta a Java kapcsolatát a webes alkalmazásokkal.
"A Java kisalkalmazások és a webes alkalmazások alapértelmezett biztonsági szintjét" közepes "-ről" magasra "emelték" - mondta az Oracle a tanácsban.
Ez azt jelenti, hogy a felhasználót mindig felkérik, hogy az alá nem írt Java kisalkalmazás vagy a Web Start alkalmazás futhasson. Korábban a Java kisalkalmazások és alkalmazások automatikusan futtak, mivel a felhasználóknak a Java legújabb verziója volt telepítve. A "magas" beállítás mellett a felhasználót mindig figyelmeztetik az alá nem írt alkalmazások futtatása előtt, hogy a támadók nem tudnak elindítani néma támadásokat - mondta az Oracle.
Sávon kívüli javítás
Az Oracle vészhelyzeti javítása szokatlan. A társaság általában javítja a Java-ot negyedéves ciklusban, de valószínűleg kiadta ezt a sávon kívüli javítást, mivel a biztonsági rést kihasználó támkódot már számos népszerű kizsákmányolókészlethez hozzáadtak, köztük a "Blackhole" és a "NuclearPack". A bűnözőkészletek megkönnyítik a bűnözőket, hogy megfertőzzék a számítógépeket rosszindulatú szoftverekkel, és átvegyék a gépeket saját rosszindulatú céljukra. A kutatók már fedezték fel a kódot futtató webhelyeket, bár jelenleg nem ismeretes, hogy hány felhasználót veszélyeztettek már.
Az Oracle korábban tavaly ősszel bocsátotta ki a sávon kívüli javítást, miután a kutatók hasonló távoli végrehajtási hibát fedeztek fel.
A Java böngészőben, a Desktopban nem
Fontos szem előtt tartani, hogy a frissítésben rögzített két távoli kódfuttatást lehetővé tevő biztonsági rés "csak a Java-ra vonatkozik a webböngészőkben, mert rosszindulatú böngésző-kisalkalmazások révén kihasználható" - írta Eric Maurice, az Oracle szoftverbiztonsági igazgatója az Oracle Software Security Assurance Blog-ban. Ha nem rendszeresen fér hozzá a Java rendszert futtató webhelyekhez, akkor érdemes letiltani a Java plugint a böngészőjében. Itt található a lépésről lépésre a Java letiltásának lehetősége a SecurityWatch Neil Rubenking alkalmazásából.
Számos asztali alkalmazás és népszerű játék (Minecraft, bárki?) Használ Java-t, de a helyi Java-klienst nem támadják meg.
"Ezek a sebezhetőségek nem érintik a kiszolgálók Java-ját, a Java asztali alkalmazásokat vagy a beágyazott Java-t" - írta Maurice.
