Videó: Java 5, 6, 7, 8, 9, 10, 11: What Did You Miss? (November 2024)
Az Oracle újabb vészhelyzeti frissítést adott ki a Java számára. Ez a harmadik vészhelyzeti frissítés, amelyet a vállalat 2013-ban kiadott, hogy javítsa a Java tátongó biztonsági problémáit, amelyeket már támadások során használtak.
A legfrissebb frissítések, a Java 7 frissítés 17 és a Java 6 frissítés, a CVE-2013-1493 és egy kapcsolódó biztonsági rés (CVE-2013-0809) címére vonatkoztak, mondta az Oracle hétfőn kiadott biztonsági tanácsadása. Mindkét sebezhetőség befolyásolja a Java SE 2D összetevőjét, amely kezeli a futásidejű grafikákat és a képek megjelenítését - írja Eric Maurice, az Oracle szoftverbiztonsági igazgatója, blogbejegyzés.
A Java összes felhasználójának azonnal frissítenie kell a legújabb verziót.
"Ezek a sebezhetőségek távolról kihasználhatók hitelesítés nélkül, azaz hálózaton keresztül felhasználhatók felhasználói név és jelszó nélkül" - írta az Oracle.
A támadók becsaphatják a gyanútlan felhasználókat egy rosszindulatú webhely-tárhelykód meglátogatásával, amely ezeket a biztonsági hibákat váltja ki - mondta az Oracle. A kutatók vadon élő támadásokat fedeztek fel a felhasználói számítógépekkel a McRAT távoli elérésű trójai segítségével. A McRAT kapcsolatba lép a parancs- és vezérlőkiszolgálókkal, és lemásolja magát a Windows operációs rendszer folyamatain.
A sikeres kihasználások "befolyásolhatják a felhasználói rendszer rendelkezésre állását, integritását és bizalmas jellegét" - írta az Oracle.
Sok frissítés, tiltsa le, ha tudsz
Az Oracle január közepén és február elején frissítette a Java-t sürgősségi frissítésekkel, miután karácsonykor beszámoltak a különféle webhelyeket érintő, öntözőlyukas stílusú támadások sorozatáról. A cég február 19-én ütemezett 50 frissített hibát okozó frissítést. Erről a két hibáról az Oracle február 1-jén számoltak be, ám ezeket nem lehetett beépíteni a február 19-i frissítésbe - írta Maurice.
Tekintettel arra, hogy a következő Java-frissítés áprilisban zajlik, a vállalat úgy döntött, hogy kiad egy sávon kívüli javítást, mivel a hibát aktívan használják támadásokban.
"Annak érdekében, hogy fenntartsák az összes Java SE felhasználó biztonsági testtartását, az Oracle úgy döntött, hogy a lehető leghamarabb kiadja a biztonsági rés javítását és egy másik szorosan kapcsolódó hibát" - írta Maurice.
Maurice biztosította a felhasználókat, hogy a problémák csak a webböngészőkben futó Java alkalmazásokban vannak jelen, és nem vonatkoznak a kiszolgálókon futó Java-ra, önálló Java asztali alkalmazásokra, beágyazott Java alkalmazásokra vagy Oracle-szerver alapú szoftverekre. Számos biztonsági szakértő és a Belbiztonsági Minisztérium Számítógépes Vészhelyzet-elhárító Csapata (CERT) azt ajánlja, hogy a felhasználók kapcsolják ki a Java plugint böngészőikben, ha nem használják rendszeresen.
Ha a felhasználónak szüksége van a Java-ra, amely az üzleti és oktatási felhasználók túlnyomó többségét lefedi, érdemes külön böngészőt tartani a Java plug-in telepítésével, és csak a webhelyek eléréséhez használja ezt a böngészőt.
"Jó látni, hogy az Oracle gyorsabban reagál a kritikus sérülékenységekre, de már elmúlt idő, hogy mélyebben belemerüljenek a Java biztonsági kérdéseibe" - mondta Lamar Bailey, az nCircle biztonsági kutatási és fejlesztési igazgatója a SecurityWatch-nek . "Remélem, hogy az Oracle már kijelölt egy csapatot a legjobb biztonsági mérnökökről, hogy proaktívan szétoszlassa a fennmaradó Java biztonsági problémákat, de addig a felhasználók frissítik a Java-t, amint frissítik az AV aláírásokat" - mondta.
A Java 6 ez év februárjában lépett be az életciklusba, és felvette a kérdést, hogy az Oracle hagyja-e a régebbi verziót változatlanul. Az Oracle javította a Java 6-ot ebben a frissítésben, amelyet még mindig sok felhasználó használ. Nem világos, hogy az Oracle hogyan kezeli a Java 6 javításait az elkövetkező néhány hónapban.
"Mindig azt gondoltam, hogy az Oracle jó munkát végzett termékeik biztosításában, de a Java sérülékenységek jelenlegi kiütése miatt elvesztem a hitét" - mondta Bailey, és hozzátette, hogy most azon tűnik, vajon milyen komoly biztonsági problémák vannak az Oracle többi termékében..
További Java hibák találtak
A folyamatban lévő macska- és egérjátékban a Java frissítés azt jelenti, hogy itt az ideje a sebezhetőség további felfedésére. Adam Gowdiak, a Security Explorations lengyel kutató cég vezetője további öt Java 7 kérdést talált.
"Öt új biztonsági problémát fedeztek fel a Java SE 7-ben (az 56–60-os számozással), amelyek együttesen sikeresen felhasználhatók egy teljes Java biztonsági homokozó-megkerüléshez a Java SE 7 15. frissítésének környezetében" - írta Gowdiak hétfőn a Bugtraq levelezőlista. Úgy tűnik, hogy a támadók fel tudják használni a kérdéseket az Oracle által a közelmúltban végrehajtott biztonsági ellenőrzések néhány részének megtörésére - mondta Gowdiak. Mind a öt kérdést együtt kell használni a támadás sikeréhez. Gowdiak már részletes információkat és koncepciókódot nyújtott be az Oracle-hez.
Két kérdés a Java 6-ra is hatással lehet, de ezt nem erősítették meg.
"A Java bizonyul az ajándéknak, amelyet folyamatosan adnak a támadóknak" - mondta Andrew Storms, az nCircle biztonsági műveleteinek igazgatója a SecurityWatch-nek . Megjósolta a nagyobb vállalatok és kormányzati szervezetek elleni célzottabb támadásokat. "A Javaval kapcsolatos rossz hírek csak egyre rosszabbodnak, és nincs vége a látásnak" - mondta.
