Video: How to install Java 6/7/8 in Ubuntu Linux (Octombrie 2024)
Oracle a emis încă o actualizare de urgență pentru Java. Aceasta este a treia actualizare de urgență pe care compania a lansat-o în 2013 pentru a remedia problemele de securitate lipsite de Java în Java, care erau deja utilizate în atacuri.
Ultimele actualizări, Java 7 actualizarea 17 și Java 6 actualizarea 43, au vizat CVE-2013-1493 și o vulnerabilitate asociată (CVE-2013-0809), a declarat Oracle în avizul său de securitate lansat luni. Ambele vulnerabilități afectează componenta 2D a Java SE, care gestionează graficele de rulare și modul în care sunt redate imaginile, potrivit unui post de la Eric Maurice, director de asigurări de securitate software la Oracle.
Toți utilizatorii Java ar trebui să treacă imediat la cele mai recente versiuni, a spus compania.
„Aceste vulnerabilități pot fi exploatabile de la distanță fără autentificare, adică pot fi exploatate printr-o rețea fără a fi nevoie de nume de utilizator și parolă”, a scris Oracle.
Oracle a spus că atacatorii pot păcăli utilizatorii care nu vizionează să viziteze un cod de găzduire de pagini web dăunătoare, care declanșează aceste defecte de securitate. Cercetătorii au descoperit atacuri în computerele utilizatorilor infestate în sălbăticie cu troianul cu acces la distanță McRAT. McRAT contactează serverele de comandă și control și se copiază în procesele sistemului de operare Windows.
Exploatările, dacă reușesc, „pot afecta disponibilitatea, integritatea și confidențialitatea sistemului utilizatorului”, a scris Oracle.
Multe actualizări, Dezactivează dacă poți
Oracle a actualizat Java la jumătatea lunii ianuarie și din nou la începutul lunii februarie, cu actualizări de urgență, după ce rapoartele au apărut de Crăciun cu privire la o serie de atacuri în stil de gaură care afectează diverse site-uri. Compania a lansat o actualizare programată care se adresează la 50 de erori pe 19 februarie. Aceste două bug-uri au fost raportate la Oracle 1 februarie, dar nu au putut fi incluse în actualizarea din 19 februarie, a scris Maurice.
Având în vedere următoarea actualizare programată Java a fost în aprilie, compania a decis să elibereze un plasture din afara bandei, deoarece defectul era folosit în mod activ în atacuri.
"Pentru a ajuta la menținerea posturii de securitate a tuturor utilizatorilor Java SE, Oracle a decis să elibereze o corecție pentru această vulnerabilitate și o altă eroare strâns legată cât mai curând posibil", a scris Maurice.
Maurice a dat asigurări utilizatorilor că problemele sunt prezente numai în aplicațiile Java care rulează în browsere Web și nu se aplică Java care rulează pe servere, aplicații desktop de sine stătătoare sau aplicații Java încorporate sau software bazat pe server Oracle. Mulți experți în securitate și Echipa de intervenție în caz de urgență a computerului de securitate internă (CERT) recomandă utilizatorilor să dezactiveze pluginul Java în browserele lor dacă nu îl folosesc în mod regulat.
Dacă utilizatorul are nevoie de Java, care acoperă marea majoritate a utilizatorilor de afaceri și educație, merită să păstrați un browser separat cu plug-in-ul Java instalat și să utilizați acel browser pentru a accesa doar acele site-uri.
"Este bine să vezi Oracle răspunzând mai rapid la vulnerabilitățile critice, dar a trecut mult timp pentru ei să facă o scufundare mai profundă în problemele de securitate Java", a declarat pentru SecurityWatch Lamar Bailey, directorul cercetării și dezvoltării securității la nCircle. "Sper că Oracle a alocat deja o echipă dintre cei mai buni ingineri de securitate pentru a-i acapa proactiv pe oricare dintre problemele de securitate Java rămase, dar până atunci utilizatorii vor actualiza Java de câte ori actualizează semnăturile AV", a spus el.
Java 6 a intrat în sfârșit de viață în luna februarie, stimulând îngrijorarea dacă Oracle va lăsa sau nu versiunea mai veche. Oracle a plasat Java 6 în această actualizare, care este încă utilizat de mulți utilizatori. Nu este clar modul în care Oracle va gestiona patch-urile pentru Java 6 în următoarele luni.
"Întotdeauna am crezut că Oracle a făcut o treabă bună în asigurarea produselor lor, dar erupția recentă a vulnerabilităților Java mă determină să pierd credința", a spus Bailey, adăugând că acum se întreabă ce fel de probleme grave de securitate sunt în celelalte produse Oracle..
Mai multe bug-uri Java găsite
Într-un joc continuu de pisici și mouse, o actualizare Java înseamnă că este timpul pentru mai multe dezvăluiri de vulnerabilitate. Adam Gowdiak, șeful firmei de cercetare poloneze Security Explorations, a găsit alte cinci probleme Java 7.
"Cinci noi probleme de securitate au fost descoperite în Java SE 7 (numerotate de la 56 la 60), care, atunci când sunt combinate împreună, pot fi folosite cu succes pentru a obține o ocolire completă a pachetului de securitate Java în mediul actualizării 15 de Java SE 7", a scris Gowdiak luni în Lista de mailuri Bugtraq Se pare că atacatorii ar putea folosi problemele pentru a sparge unele verificări de securitate implementate recent de Oracle, a spus Gowdiak. Toate cele cinci probleme trebuie folosite împreună pentru ca atacul să aibă succes. Gowdiak a transmis deja Oracle informații detaliate și cod de dovadă a conceptului.
Două dintre probleme pot afecta și Java 6, dar acest lucru nu a fost confirmat.
"Java se dovedește a fi cadoul care continuă să ofere atacatorilor", a declarat Andrew Security pentru directorul operațiunilor de securitate nCircle, pentru SecurityWatch . El a prezis atacuri mai vizate împotriva marilor corporații și entități guvernamentale. "Vestea proastă cu Java continuă să se înrăutățească și nu există niciun sfârșit în vedere", a spus el.
