Video: Oracle Database Patch (November 2024)
Spoločnosť Oracle vydala núdzovú aktualizáciu na zatvorenie závažnej bezpečnostnej chyby v jazyku Java, ktorú útočníci už používali na prienik do počítačov používateľov.
Oprava „out-of-band“ sa týka nedávno objavenej kritickej zraniteľnosti v Java 7 od spoločnosti Oracle. Spoločnosť Oracle uviedla vo svojom bezpečnostnom poradenstve vydanom 13. januára. Útočník by využil najnovšiu chybu tým, že by prinútil používateľov navštevovať webovú stránku so škodlivým appletom. Používateľom sa odporúča okamžitá aktualizácia na aktualizáciu Java 7 Update 11.
Aktualizácia Java 7 11 zmierňuje CVE-2013-0422 (najnovšie zraniteľné miesto), ako aj CVE-2012-3174, staršiu chybu pri vykonávaní vzdialeného kódu, ktorá sa datuje do minulého júna. Obe chyby dostali hodnotenie 10, čo je najvyššie možné skóre v tejto stupnici. V rámci tejto opravy Oracle uzavrel túto chybu a tiež zmenil spôsob, akým Java interagovala s webovými aplikáciami.
„Predvolená úroveň zabezpečenia apletov Java a aplikácií na spustenie webu sa zvýšila z 'strednej' na 'vysokú, ' uviedla spoločnosť Oracle v odporúčaní.
To znamená, že užívateľ bude vždy vyzvaný, aby mohol spustiť nepodpísaný aplet Java alebo aplikáciu Web Start. V minulosti sa Java applety a aplikácie spúšťali automaticky, pretože používatelia mali nainštalovanú najnovšiu verziu Java. Pri nastavení „vysoké“ je používateľ vždy upozornený pred spustením akejkoľvek nepodpísanej aplikácie, aby útočníci nemohli spustiť tiché útoky, uviedla spoločnosť Oracle.
Oprava mimo pásma
Núdzová náplasť od spoločnosti Oracle je nezvyčajná. Spoločnosť zvyčajne opravuje program Java v štvrťročnom cykle, pravdepodobne však vydala túto opravu mimo pásma, pretože kód útoku využívajúci túto zraniteľnosť už bol pridaný do niekoľkých populárnych súprav na zneužitie vrátane „Blackhole“ a „NuclearPack“. Súpravy Crimware uľahčujú zločincom infikovanie počítačov škodlivým softvérom a prevzatie počítačov pre vlastné škodlivé účely. Vedci už odhalili webové stránky s kódom, aj keď nie je známe, koľko používateľov už bolo napadnutých.
Spoločnosť Oracle už minulý rok na trh vydala záplatu mimo pásma po tom, čo vedci odkryli podobnú chybu pri vykonávaní na diaľku.
Ovplyvňuje Javu vo webových prehľadávačoch, nie v počítači
Je dôležité si uvedomiť, že tieto dve chyby zabezpečenia týkajúce sa spustenia kódu, ktoré sú uvedené v tejto aktualizácii, sú „použiteľné iba pre Javu vo webových prehľadávačoch, pretože ich možno zneužiť prostredníctvom škodlivých apletov prehliadača“, Eric Blogice napísal na blogu Oracle Software Security Assurance Eric Maurice, riaditeľ zabezpečenia zabezpečenia softvéru spoločnosti Oracle., Ak pravidelne nepristupujete k webovým stránkam, na ktorých je spustená Java, potom je vhodné zakázať doplnok Java vo vašom prehliadači. Tu je podrobný návod, ako zakázať Java z programu Neil Rubenking programu SecurityWatch.
Mnoho aplikácií pre stolné počítače a populárnych hier (Minecraft, niekto?) Používa Javu, ale miestny klient Java nie je pod útokom.
„Tieto zraniteľné miesta neovplyvňujú Javu na serveroch, desktopových aplikáciách Java alebo vstavanej Java, “ napísal Maurice.