Video: How to Install Java JDK on Windows 10 ( with JAVA_HOME ) (2020) (November 2024)
Spoločnosť Oracle vydala ďalšiu núdzovú aktualizáciu pre Java. Ide o tretiu núdzovú aktualizáciu, ktorú spoločnosť vydala v roku 2013 s cieľom vyriešiť problémové bezpečnostné problémy v jazyku Java, ktoré sa už používajú pri útokoch.
Najnovšie aktualizácie, aktualizácia Java 7 a aktualizácia Java 6, sa týkali CVE-2013-1493 a súvisiacej zraniteľnosti (CVE-2013-0809), uviedla spoločnosť Oracle vo svojom bezpečnostnom poradenstve vydanom v pondelok. Obe zraniteľné miesta ovplyvňujú 2D zložku Java SE, ktorá spracováva runtime grafiku a spôsob vykresľovania obrázkov. Podľa blogu od Eric Maurice, riaditeľa zabezpečenia softvérovej bezpečnosti v spoločnosti Oracle.
Všetci používatelia Java by mali okamžite upgradovať na najnovšie verzie.
„Tieto zraniteľné miesta môžu byť zneužiteľné na diaľku bez autentifikácie, tj môžu byť zneužité v sieti bez potreby užívateľského mena a hesla, “ napísal Oracle.
Útočníci môžu prinútiť netušiacich používateľov k návšteve škodlivého kódu hostujúceho webovú stránku, ktorý spôsobuje tieto bezpečnostné nedostatky, uviedla spoločnosť Oracle. Vedci objavili útoky v divočine infikujúcich užívateľských počítačoch pomocou trójskeho konta McRAT pre vzdialený prístup. Spoločnosť McRAT kontaktuje servery príkazov a riadenia a kopíruje sa do procesov operačného systému Windows.
Využíva, ak bude úspešný, „môže mať vplyv na dostupnosť, integritu a dôvernosť systému používateľa, “ napísal Oracle.
Veľa aktualizácií, ak je to možné, vypnite ich
Spoločnosť Oracle aktualizovala Javu v polovici januára a znova začiatkom februára núdzovými aktualizáciami po tom, čo sa počas Vianoc objavili správy o sérii útokov typu watering-hole, ktoré ovplyvňujú rôzne stránky. Spoločnosť zverejnila naplánovanú aktualizáciu adresujúcu 50 chýb 19. februára. Tieto dve chyby boli nahlásené spoločnosti Oracle 1. februára, ale nemohli byť zahrnuté do aktualizácie 19. februára, napísal Maurice.
Vzhľadom na to, že ďalšia naplánovaná aktualizácia jazyka Java sa uskutočnila v apríli, spoločnosť sa rozhodla vydať opravu mimo pásma, pretože chyba sa aktívne používala pri útokoch.
„V snahe pomôcť udržať bezpečnostné postoje všetkých používateľov Java SE sa spoločnosť Oracle rozhodla čo najskôr vydať opravu tejto chyby zabezpečenia a ďalšiu úzko súvisiacu chybu, “ napísal Maurice.
Maurice ubezpečil používateľov, že problémy sa vyskytujú iba v aplikáciách Java spustených vo webových prehľadávačoch a nevzťahujú sa na Java spúšťané na serveroch, samostatných desktopových aplikáciách Java alebo vnorených Java aplikáciách ani na serverovom softvéri Oracle. Mnoho odborníkov na bezpečnosť a tím havarijnej reakcie počítačového oddelenia ministerstva vnútornej bezpečnosti (CERT) odporúčajú, aby používatelia zakázali doplnok Java vo svojich prehľadávačoch, ak ho nepoužívajú pravidelne.
Ak používateľ potrebuje Javu, ktorá pokrýva veľkú väčšinu používateľov z oblasti podnikania a vzdelávania, stojí za to ponechať si samostatný prehliadač s nainštalovaným doplnkom Java a pomocou tohto prehliadača pristupovať iba na tieto stránky.
„Je dobré vidieť, ako Oracle rýchlejšie reaguje na kritické zraniteľné miesta, ale je minulosťou, že sa môžu hlbšie ponoriť do bezpečnostných problémov Java, “ povedal pre SecurityWatch Lamar Bailey, riaditeľ bezpečnostného výskumu a vývoja spoločnosti nCircle. „Dúfam, že spoločnosť Oracle už poverila tím svojich najlepších bezpečnostných inžinierov, aby aktívne potlačili všetky zostávajúce problémy s bezpečnosťou Java, ale dovtedy používatelia aktualizujú Javu tak často, ako aktualizujú AV podpisy, “ uviedol.
Java 6 vstúpila do konca tohto života vo februári, čo vyvolalo obavy, či by spoločnosť Oracle nechala staršiu verziu bez opravy. Oracle aktualizoval Java 6 v tejto aktualizácii, ktorú stále používa veľa používateľov. Nie je jasné, ako bude spoločnosť Oracle v nasledujúcich mesiacoch spracovať patche pre Java 6.
„Vždy som si myslel, že spoločnosť Oracle odviedla dobrú prácu pri zabezpečovaní svojich produktov, ale nedávna vyrážka zraniteľností jazyka Java mi spôsobuje stratu viery, “ dodal Bailey a dodal, že sa teraz pýta, aké vážne bezpečnostné problémy majú ostatné produkty spoločnosti Oracle.,
Našlo sa viac chýb Java
V prebiehajúcej hre mačiek a myší znamená aktualizácia Java čas na zverejnenie ďalších zraniteľností. Adam Gowdiak, vedúci poľskej výskumnej firmy Security Explorations, našiel ďalších päť problémov Java 7.
„V Java SE 7 bolo objavených päť nových bezpečnostných problémov (číslovaných 56 až 60), ktoré sa dajú kombinovať spolu s úspechom na získanie úplného obtoku bezpečnostného priestoru Java v prostredí aktualizácie Java SE 7 15, “ napísal Gowdiak v pondelok Mailing list Bugtraq. Zdá sa, že útočníci by mohli tieto problémy využiť na prerušenie niektorých bezpečnostných kontrol, ktoré spoločnosť Oracle nedávno vykonala, uviedol Gowdiak. Aby bol útok úspešný, musí sa použiť všetkých päť problémov. Spoločnosť Gowdiak už spoločnosti Oracle predložila podrobné informácie a kód koncepcie.
Java 6 môže ovplyvniť aj dva problémy, ale to sa nepotvrdilo.
„Java sa ukazuje ako dar, ktorý neustále dáva útočníkom, “ povedal Andrew Storms, riaditeľ bezpečnostných operácií v spoločnosti nCircle, pre agentúru SecurityWatch . Predpovedal cielenejšie útoky na veľké korporácie a vládne subjekty. „Zlá správa s programom Java sa stále zhoršuje a koniec nie je v dohľade, “ uviedol.