Видео: unboxing turtles slime surprise toys learn colors (Ноябрь 2024)
Oracle выпустила экстренное обновление, чтобы закрыть серьезную ошибку безопасности в Java, которая уже использовалась злоумышленниками для взлома пользовательских компьютеров.
Внеполосное исправление устраняет недавно обнаруженную критическую уязвимость в Oracle Java 7, говорится в сообщении Oracle, выпущенном 13 января. Злоумышленник воспользуется последним недостатком, обманывая пользователей при посещении веб-сайта с вредоносным апплетом. Пользователям рекомендуется немедленно обновить до Java 7 Update 11.
Java 7 Update 11 устраняет как CVE-2013-0422 (последняя уязвимость), так и CVE-2012-3174, более старую ошибку удаленного выполнения кода, появившуюся в июне прошлого года. Оба недостатка получили оценку «Общая система оценки уязвимостей», равную 10, максимально возможный балл по этой шкале. В этом патче Oracle исправил ошибку и также изменил взаимодействие Java с веб-приложениями.
«Уровень безопасности по умолчанию для апплетов Java и веб-приложений запуска был увеличен со« среднего »до« высокого », - говорится в сообщении Oracle.
Это означает, что пользователю всегда будет предложено выполнить запрос до запуска неподписанного Java-апплета или приложения Web Start. Ранее Java-апплеты и приложения запускались автоматически, если у пользователей была установлена последняя версия Java. При значении «high» пользователь всегда получает предупреждение перед запуском любого неподписанного приложения, чтобы злоумышленники не могли запускать тихие атаки, говорит Oracle.
Внеполосный патч
Аварийный патч от Oracle необычен. Компания обычно исправляет Java ежеквартально, но, вероятно, выпустила это внеполосное исправление, потому что код атаки, использующий эту уязвимость, уже был добавлен в несколько популярных наборов эксплойтов, в том числе «Blackhole» и «NuclearPack». Наборы для защиты от вредоносных программ позволяют злоумышленникам заражать компьютеры вредоносным ПО и захватывать компьютеры для своих собственных гнусных целей. Исследователи уже обнаружили сайты, на которых запущен код, хотя на данный момент неизвестно, сколько пользователей уже было взломано.
Oracle ранее выпустила внеполосный патч прошлой осенью после того, как исследователи обнаружили аналогичный недостаток удаленного выполнения.
Влияет на Java в веб-браузерах, а не на рабочем столе
Важно помнить, что две уязвимости удаленного выполнения кода, исправленные в этом обновлении, «применимы только к Java в веб-браузерах, поскольку они могут использоваться через вредоносные апплеты браузера», - написал Эрик Морис, директор по обеспечению безопасности программного обеспечения Oracle в блоге Oracle Software Security Assurance., Если вы не получаете регулярного доступа к веб-сайтам, на которых работает Java, то стоит отключить плагин Java в вашем браузере. Вот пошаговые инструкции по отключению Java от Нейла Рубенкинга из SecurityWatch.
Многие настольные приложения и популярные игры (Minecraft, кто-нибудь?) Используют Java, но локальный клиент Java не подвергается атаке.
«Эти уязвимости не влияют на Java на серверах, настольных приложениях Java или встроенной Java», - написал Морис.