Video: Java 5, 6, 7, 8, 9, 10, 11: What Did You Miss? (Marraskuu 2024)
Oracle on julkaissut jälleen yhden Java-hätäpäivityksen. Tämä on kolmas hätäpäivitys, jonka yritys on julkaissut vuonna 2013 korjaamaan Java-järjestelmän ammottavia tietoturvaongelmia, joita käytettiin jo hyökkäyksissä.
Uusimmat päivitykset, Java 7 -päivitys 17 ja Java 6 -päivitys 43, osoittivat CVE-2013-1493: n ja siihen liittyvän haavoittuvuuden (CVE-2013-0809), Oracle sanoi maanantaina julkaistussa tietoturvaohjeissaan. Molemmat haavoittuvuudet vaikuttavat Java SE: n 2D-komponenttiin, joka käsittelee ajonaikaista grafiikkaa ja miten kuvat esitetään, Oraclen ohjelmistoturvallisuusjohtaja Eric Mauricen blogin mukaan.
Kaikkien Java-käyttäjien tulee päivittää välittömästi uusimpiin versioihin, yritys sanoi.
"Nämä haavoittuvuudet voivat olla etäkäytettävissä ilman todennusta, ts. Niitä voidaan käyttää hyväksi verkon kautta ilman käyttäjänimeä ja salasanaa", Oracle kirjoitti.
Hyökkääjät voivat huijata epäilyttäviä käyttäjiä vierailemaan haitallisella verkkosivun isännöintikoodilla, joka laukaisee nämä turvallisuusvirheet, Oracle sanoi. Tutkijat löysivät hyökkäykset luonnossa tartuttaen käyttäjän tietokoneita McRAT-etäkäyttöön tarkoitetulla troijalaisella. McRAT ottaa yhteyttä komento- ja hallintapalvelimiin ja kopioi itsensä Windows-käyttöjärjestelmän prosesseihin.
Hyödyntäminen, jos se onnistuu, "voi vaikuttaa käyttäjän järjestelmän saatavuuteen, eheyteen ja luottamuksellisuuteen", Oracle kirjoitti.
Paljon päivityksiä, poista käytöstä, jos pystyt
Oracle päivitti Javaa tammikuun puolivälissä ja jälleen helmikuun alkupuolella hätäpäivityksillä, kun jouluna ilmestyi raportteja sarjasta erilaisille sivustoille kohdistuvia juomareikätyylisiä hyökkäyksiä. Yhtiö julkaisi suunnitellun päivityksen, joka koski 50 virhettä 19. helmikuuta. Näistä kahdesta virheestä ilmoitettiin Oraclen 1. helmikuuta, mutta niitä ei voitu sisällyttää 19. helmikuuta päivitykseen, Maurice kirjoitti.
Koska seuraava suunniteltu Java-päivitys oli huhtikuussa, yritys päätti julkaista kaistan ulkopuolisen korjaustiedoston, koska virhettä käytettiin aktiivisesti hyökkäyksissä.
"Kaikkien Java SE -käyttäjien turvallisuusasennon ylläpitämiseksi Oracle päätti julkaista tämän haavoittuvuuden ja toisen läheisesti liittyvän virheen korjauksen mahdollisimman pian", Maurice kirjoitti.
Maurice vakuutti käyttäjille, että ongelmat esiintyvät vain Web-selaimissa toimivissa Java-sovelluksissa, eivätkä ne koske Java-palvelinta, erillisiä Java-työpöytäsovelluksia tai sulautettuja Java-sovelluksia tai Oracle-palvelinpohjaisia ohjelmia. Monet tietoturva-asiantuntijat ja kotimaan turvallisuusministeriön tietotekniikan hätätiimiryhmä (CERT) suosittelevat, että käyttäjät poistavat Java-laajennuksen selaimistaan, jos he eivät käytä sitä säännöllisesti.
Jos käyttäjä tarvitsee Javaa, joka kattaa suurimman osan liike- ja koulutuskäyttäjistä, kannattaa pitää erillinen selain, jossa Java-laajennus on asennettu, ja käyttää selainta pääsyyn vain kyseisiin sivustoihin.
"On hienoa nähdä, että Oracle reagoi nopeammin kriittisiin haavoittuvuuksiin, mutta heidän on mennyt aika mennä syvemmälle Java-tietoturvakysymyksiin", nCirclen tietoturvan tutkimuksen ja kehityksen johtaja Lamar Bailey kertoi SecurityWatchille . "Toivon, että Oracle on jo nimittänyt parhaimpien tietoturvainsinöörien ryhmän aktiivisesti purkamaan kaikki jäljellä olevat Java-tietoturvaongelmat, mutta siihen asti käyttäjät päivittävät Javaa niin usein kuin he päivittävät AV-allekirjoituksia", hän sanoi.
Java 6: n käyttöikä päättyi tämän vuoden helmikuussa, mikä herättää huolta siitä, jättäisikö Oraclen vanhemmat versiot vaihtamatta. Oracle korjasi Java 6: n tähän päivitykseen, jota monet käyttäjät käyttävät edelleen. Ei ole selvää, kuinka Oracle käsittelee Java 6: n korjauksia seuraavien kuukausien aikana.
"Olen aina ajatellut, että Oracle teki hyvää työtä heidän tuotteidensa turvaamiseksi, mutta Java-haavoittuvuuksien äskettäinen ihottuma aiheuttaa minulle uskon menettämisen", Bailey sanoi ja lisäsi, että hän pohtii nyt, millaisia vakavia turvallisuusongelmia on Oraclen muissa tuotteissa.
Lisää Java-virheitä löytyi
Jatkuvassa kissan ja hiiren pelissä Java-päivitys tarkoittaa, että on aika lisätä haavoittuvuuksia. Puolalaisen tutkimusyrityksen Security Explorations -yrityksen johtaja Adam Gowdiak löysi viisi Java 7 -numeroa.
"Java SE 7: stä (numeroidut 56-60) löydettiin viisi uutta tietoturvaongelmaa, joita yhdistettynä voidaan menestyksekkäästi käyttää täydelliseen Java-tietoturvan hiekkalaatikon ohitukseen Java SE 7 -päivityksen 15 ympäristössä", Gowdiak kirjoitti maanantaina Bugtraq-postituslista. Vaikuttaa siltä, että hyökkääjät voisivat käyttää näitä asioita rikkoakseen joitakin Oraclen äskettäin toteuttamia turvatarkastuksia, Gowdiak sanoi. Kaikkia viittä asiaa on käytettävä yhdessä hyökkäyksen onnistumiseksi. Gowdiak on jo toimittanut yksityiskohtaiset tiedot ja konseptikoodin Oraclelle.
Kaksi ongelmista saattaa vaikuttaa myös Java 6: een, mutta sitä ei ole vahvistettu.
"Java on osoittautunut lahjaksi, jota annetaan jatkuvasti hyökkääjille", kertoi nCirclen turvallisuusoperaatioiden johtaja Andrew Storms SecurityWatchille . Hän ennusti kohdennetumpia iskuja suuryrityksiä ja hallintoelimiä vastaan. "Javan huonot uutiset vain pahenevat, eikä loppua ole näkyvissä", hän sanoi.