Видео: Java Account Migration: A Fun Announcement by Dinnerbone (Ноябрь 2024)
Еще в июне мы рассказывали о том, как Oracle пообещала улучшать работу с Java и чаще обновлять платформу. Это было краеугольным камнем в серии смущающих эпизодов, где Java использовалась снова и снова для нападок на пользователей. На этой неделе Oracle выпустила первую серию обновлений для Java, которые, как они надеются, сделают три миллиарда устройств, на которых работает их продукт, более безопасными. Это может быть правдой, но обновление ужасно велико с такими же ужасающими последствиями.
Исправление быстрее
Ранее Java обновлялась три раза в год, но начиная с этой недели она будет обновляться ежеквартально вместе с остальными продуктами Oracle как часть их Critical Patch Update или CPU (я вижу, что вы там делали, Oracle).
В целом, обновление включает в себя 127 исправлений безопасности. Из них 51 - для Java, и, вот страшная часть, 50 из этих уязвимостей, по словам Oracle, могут «использоваться удаленно без аутентификации».
Но это становится лучше. В блоге Qualys технический директор Вольфганг Кандек пишет: «12 уязвимостей, имеющих наивысший балл CVSSv2, равный 10, что указывает на то, что эти уязвимости можно использовать для получения полного контроля над атакованным компьютером по сети без проверки подлинности». Далее он отмечает, что большинство обновлений затрагивают пользователей ноутбуков и настольных компьютеров (например, вы читаете это прямо сейчас), но есть два крайне важных обновления, связанных с установкой сервера.
Время обновлять!
Большинство пользователей, вероятно, будут получать обновления автоматически, но, чтобы быть уверенным, Oracle предоставила полезную страницу для проверки используемой версии. Если он обнаружит устаревшую установку, он предложит вам загрузить и установить обновление. Обратите внимание, что самая последняя версия на этой неделе - Java 7 update 45.
Я собираюсь немного подумать, чтобы напомнить пользователям, что нужно очень осторожно обновлять Java вручную, потому что он попытается убедить вас установить панель инструментов Ask.com и изменить поисковую систему по умолчанию на Ask.
Слишком мало?
Хотя хорошо, что Oracle усиливает свою игру в сфере безопасности, далеко не все приветствуют этот шаг. Старший советник Sophos по безопасности Честер Вишневски написал в блоге своей компании, что это слишком поздно. «Если ваша репутация настолько плохая, и вы открыли для себя более миллиарда пользователей, вам нужно реагировать быстрее».
Вишневский продолжал утверждать, что приоритеты Oracle были смещены, и имел смелость атаковать лодку Ларри Эллисона под брендом Oracle, которая недавно выиграла Кубок Америки. «Положите награду на полку в вашем лобби, продайте лодку за десять миллионов долларов и наймите инженеров, необходимых для обновления цикла исправлений Java до ежемесячного за счет свободных денег», - писал Вишневски. «Более 3 миллиардов устройств будут вам благодарны».
Обновление вашей установки Java - лучший способ защитить себя от атак на основе Java, которые включаются во многие эксплойты и часто используются злоумышленниками. Конечно, вы всегда можете отключить и полностью отключить Java.