Видео: 5.8 How to Print Ascii values in Java (Ноябрь 2024)
Oracle выпустила еще одно экстренное обновление для Java. Это третье экстренное обновление, выпущенное компанией в 2013 году для устранения проблем с безопасностью в Java, которые уже использовались при атаках.
Последние обновления, Java 7, обновление 17 и Java 6, обновление 43, касались CVE-2013-1493 и связанной с ними уязвимости (CVE-2013-0809), говорится в сообщении Oracle, опубликованном в понедельник. Обе уязвимости влияют на 2D-компонент Java SE, который обрабатывает графику во время выполнения и способ визуализации изображений, согласно сообщению в блоге Эрика Мориса, директора по обеспечению безопасности программного обеспечения в Oracle.
Все пользователи Java должны немедленно обновиться до последних версий.
«Эти уязвимости могут быть использованы удаленно без аутентификации, т. Е. Они могут использоваться в сети без необходимости ввода имени пользователя и пароля», - пишет Oracle.
По словам Oracle, злоумышленники могут обмануть ничего не подозревающих пользователей при посещении вредоносной веб-страницы, содержащей код, вызывающий эти уязвимости. Исследователи обнаружили атаки на зараженных компьютерах пользователей с помощью трояна удаленного доступа McRAT. McRAT связывается с серверами управления и контроля и копирует себя в процессы операционной системы Windows.
Эксплойты, в случае успеха, «могут повлиять на доступность, целостность и конфиденциальность системы пользователя», - пишет Oracle.
Много обновлений, отключи, если сможешь
Oracle обновил Java в середине января и снова в начале февраля, выпустив экстренные обновления после сообщений, появившихся в течение Рождества о серии атак типа «водопой», затрагивающих различные сайты. 19 февраля компания выпустила запланированное обновление, устраняющее 50 ошибок. Об этих двух ошибках сообщалось Oracle 1 февраля, но их нельзя было включить в обновление 19 февраля, пишет Морис.
Учитывая, что следующее запланированное обновление Java было в апреле, компания решила выпустить внеполосный патч, потому что этот недостаток активно использовался в атаках.
«Чтобы поддерживать безопасность всех пользователей Java SE, Oracle решила как можно скорее выпустить исправление для этой уязвимости и еще одной тесно связанной ошибки», - написал Морис.
Морис заверил пользователей, что проблемы присутствуют только в приложениях Java, работающих в веб-браузерах, и не относятся к Java, работающему на серверах, автономным приложениям Java для настольных систем, встроенным приложениям Java или программному обеспечению на базе Oracle-сервера. Многие эксперты по безопасности и группа реагирования на компьютерные инциденты (CERT) Министерства внутренней безопасности рекомендуют пользователям отключать плагин Java в своих браузерах, если они не используют его регулярно.
Если пользователю нужна Java, которая охватывает подавляющее большинство коммерческих и образовательных пользователей, стоит оставить отдельный браузер с установленным плагином Java и использовать этот браузер для доступа только к этим сайтам.
«Приятно видеть, что Oracle быстрее реагирует на критические уязвимости, но давно пора им глубже погрузиться в проблемы безопасности Java», - сказал Ламар Бейли, директор по исследованиям и разработкам в области безопасности nCircle, SecurityWatch . «Я надеюсь, что Oracle уже назначила команду из своих лучших инженеров безопасности для проактивного устранения любых оставшихся проблем безопасности Java, но до тех пор пользователи будут обновлять Java так же часто, как обновляют сигнатуры AV», - сказал он.
Java 6 вступила в силу в феврале этого года, что вызвало опасения относительно того, что Oracle оставит старую версию без исправлений. В этом обновлении Oracle исправила Java 6, которая до сих пор используется многими пользователями. Не ясно, как Oracle будет обрабатывать исправления для Java 6 в течение следующих нескольких месяцев.
«Я всегда думал, что Oracle хорошо поработал над защитой своих продуктов, но недавняя вспышка уязвимостей Java заставляет меня терять веру», - сказал Бэйли, добавив, что теперь ему интересно, какие серьезные проблемы с безопасностью существуют в других продуктах Oracle.,
Найдены другие ошибки Java
В текущей игре в кошки-мышки обновление Java означает, что пришло время для раскрытия большего числа уязвимостей. Адам Говдиак, глава польской исследовательской фирмы Security Explorations, обнаружил еще пять проблем с Java 7.
«В Java SE 7 были обнаружены пять новых проблем безопасности (с номерами от 56 до 60), которые при совместном использовании могут быть успешно использованы для получения полного обхода песочницы безопасности Java в среде обновления 15 для Java SE 7», - написал в понедельник Гоудиак. Список рассылки Bugtraq. Похоже, что злоумышленники смогут использовать проблемы, чтобы сломать некоторые из проверок безопасности, недавно реализованных Oracle, сказал Гоудиак. Все пять вопросов должны быть использованы вместе, чтобы атака была успешной. Gowdiak уже предоставил Oracle подробную информацию и проверочный код.
Две проблемы могут также затронуть Java 6, но это не было подтверждено.
«Java оказывается подарком для злоумышленников», - сказал Эндрю Стормс, директор по безопасности в nCircle, в интервью SecurityWatch . Он предсказал более целенаправленные атаки на крупные корпорации и государственные структуры. «Плохие новости с Java только ухудшаются, и конца этому не видно», - сказал он.