Video: SevTech Ages of the Sky Ep. 51 Neptune Zinc for Mystical Agriculture (Septembra 2024)
Už v júni sme vám hovorili o tom, ako sa spoločnosť Oracle zaviazala robiť lepšie s programom Java a častejšie aktualizovať platformu. Toto bol základným kameňom série trápnych epizód, pri ktorých bola Java znova a znova použitá na útoky na používateľov. Tento týždeň spoločnosť Oracle vydala prvú z novej série aktualizácií pre jazyk Java, ktorá, ako dúfajú, zvýši bezpečnosť troch miliárd zariadení, ktoré prevádzkujú ich produkty. Môže to byť pravda, ale aktualizácia je strašne veľká a má rovnako strašidelné dôsledky.
Oprava rýchlejšie
V minulosti bola Java aktualizovaná trikrát do roka, ale od tohto týždňa sa bude aktualizovať štvrťročne spolu so zvyškom produktov spoločnosti Oracle ako súčasť ich aktualizácie kritických opráv alebo CPU (vidím, čo ste tam urobili, Oracle).
Celkovo táto aktualizácia obsahuje 127 bezpečnostných opráv. 51 z nich je pre Java a - tu je desivá časť - 50 z týchto zraniteľností môže byť, podľa slov Oracle, „na diaľku využiteľné bez autentifikácie.“
Ale oh, je to lepšie. Na blogu Qualys CTO Wolfgang Kandek píše „12 zraniteľností, ktoré majú najvyššie skóre CVSSv2 10, čo naznačuje, že tieto zraniteľné miesta sa dajú použiť na prevzatie úplnej kontroly nad napadnutým počítačom v sieti bez potreby overenia totožnosti.“ Ďalej poukazuje na to, že väčšina aktualizácií má vplyv na používateľov prenosných počítačov a stolných počítačov (napr. Vy, teraz si ich prečítate), ale existujú dve vysoko kritické aktualizácie súvisiace s inštaláciou servera.
Čas na aktualizáciu!
Väčšina používateľov bude pravdepodobne dostávať aktualizácie automaticky, ale spoločnosť Oracle poskytla iba užitočnú stránku na otestovanie verzie, ktorú používate. Ak zistí zastaranú inštaláciu, zobrazí sa výzva na stiahnutie a inštaláciu aktualizácie. Najnovšou verziou tohto týždňa je aktualizácia Java 7.
Budem trvať krátku sekundu, aby som používateľom pripomenul, že pri aktualizácii jazyka Java bude veľmi opatrný, pretože sa pokúsi presvedčiť vás, aby ste nainštalovali panel s nástrojmi Ask.com a zmenili váš predvolený vyhľadávací nástroj na Ask.
Príliš málo?
Aj keď je dobré vidieť, ako Oracle zintenzívnil svoju bezpečnostnú hru, nie všetci si Oracle osvojili krok. Senior poradca pre bezpečnosť spoločnosti Sophos Chester Wisniewski na blogu svojej spoločnosti napísal, že to vyzerá príliš neskoro. „Ak je vaša povesť taká zlá a vy vystavujete svojim nedostatkom viac ako miliardu používateľov, musíte reagovať rýchlejšie.“
Wisniewski pokračoval, aby naznačil, že priority spoločnosti Oracle boli nesprávne zarovnané, a mal odvahu zaútočiť na loď značky Larry Ellisonovej značky Oracle, ktorá nedávno získala americký pohár. „Ocenenie dajte na poličku vo vašej hale, predajte loď v hodnote desiatich miliónov dolárov a najmite inžinierov potrebných na aktualizáciu cyklu patchov Java na mesačnú sumu s náhradnou hotovosťou, “ napísal Wisniewski. „3+ miliardy zariadení vám poďakujú.“
Aktualizácia inštalácie jazyka Java je najlepším spôsobom, ako sa chrániť pred útokmi založenými na jazyku Java, ktoré sú zapečené do mnohých exploatívnych súprav a často ich používajú útočníci. Samozrejme môžete vždy vytiahnuť plug a vypnúť Java úplne.
