Video: How to display PDF and Office documents in your Java Web Application (J2EE) using StarDocs (Noiembrie 2024)
În iunie, v-am spus despre modul în care Oracle s-a angajat să se descurce mai bine cu Java și să actualizăm mai des platforma. Aceasta a fost piatra de pe o serie de episoade jenante în care Java a fost folosit din nou pentru a ataca utilizatorii. Săptămâna aceasta, Oracle a lansat prima serie de actualizări pentru Java, care speră că vor asigura cele trei miliarde de dispozitive care își rulează produsul mai sigur. Acest lucru ar putea fi adevărat, dar actualizarea este teribil de mare, cu implicații la fel de terifiante.
Patching Faster
Anterior, Java a fost actualizat de trei ori pe an, dar începând de săptămâna aceasta va fi actualizat trimestrial împreună cu restul produselor Oracle, ca parte a actualizării lor critice de corecție, sau CPU (văd ce ai făcut acolo, Oracle).
În general, actualizarea include 127 de corecții de securitate. Dintre acestea, 51 sunt destinate Java și - iată partea înfricoșătoare - 50 dintre aceste vulnerabilități, în cuvintele Oracle, pot fi „exploatabile de la distanță fără autentificare”.
Dar oh, devine mai bine. Pe blogul Qualys, CTO Wolfgang Kandek scrie „12 vulnerabilități cu cel mai mare scor CVSSv2 de 10, care indică faptul că aceste vulnerabilități pot fi utilizate pentru a prelua controlul deplin asupra mașinii atacate în rețea fără a necesita autentificare.” El continuă să sublinieze că majoritatea actualizărilor afectează utilizatorii de laptop și desktop (de exemplu, tu, citind acest lucru, chiar acum), dar există două actualizări extrem de critice legate de instalările serverului.
Timpul de actualizare!
Majoritatea utilizatorilor vor primi probabil actualizări automat, dar, doar pentru a fi sigur, Oracle a furnizat o pagină utilă pentru a testa ce versiune executați. Dacă detectează o instalare neactualizată, vă va solicita să descărcați și să instalați actualizarea. Rețineți că cea mai nouă versiune din această săptămână este Java 7 actualizare 45.
O să iau o secundă rapidă pentru a reaminti utilizatorilor să fie foarte atenți atunci când actualizați manual Java, deoarece va încerca să vă convingă să instalați bara de instrumente Ask.com și să schimbați motorul dvs. de căutare implicit în Ask.
Prea mic?
Deși este bine să vezi Oracle intensificându-și jocul de securitate, nu toată lumea a pus în pericol mișcarea Oracle. Consilierul de securitate senior Sophos Chester Wisniewski a scris pe blogul companiei sale că acest lucru se simte prea puțin prea târziu. „Dacă reputația ta este această săracă și expui mai mult de un miliard de utilizatori la defectele tale, trebuie să răspunzi mai rapid.”
Wisniewski a continuat să insiste că prioritățile Oracle au fost aliniate greșit și au avut îndrăzneala să atace barca marca Larry Ellison, marca Oracle, care a câștigat recent Cupa Americii. „Puneți premiul pe raftul din holul dvs., vindeți barca de zece milioane de dolari și angajați inginerii necesari pentru a actualiza lunar ciclul de patch-uri Java cu banii de rezervă”, a scris Wisniewski. „3+ miliarde de dispozitive vă vor mulțumi”.
Actualizarea instalării Java este cea mai bună metodă de a vă proteja împotriva atacurilor bazate pe Java, care sunt coapte în multe kituri de exploatare și utilizate frecvent de atacatori. Desigur, puteți trage mereu mufa și dezactiva Java cu totul.