Image
31.8.2012 0 Comments

Oprava pre kritické chyby v Jave je už dostupná

java-7.jpg Zraniteľnosti v Jave, ktoré na prelome týždňa vyšli na povrch, sa vo štvrtok dočkali záplaty. Vtedy spoločnosť FireEye upozornila na existujúci spôsob vzdialene spustiť kód umožňujúci kompletné ovládnutie počítača používateľa. Objavené exploity sa na internete používali pri cielených útokoch. Zneužívané bezpečnostné nedostatky sa nachádzajú vo verziách Java Runtime Environment (JRE) 1.7 a neskorších.

Objavené exploity využívali payload pre Windows (súbory EXE), ale po preskúmaní zraniteľnosti bolo jasné, že tieto bezpečnostné diery možno využiť aj na napadnutie počítačov s Linuxom či Mac OS X. Zraniteľné sú všetky webové prehliadače s nainštalovanou Javou v kritických verziách. Tieto zraniteľnosti v Jave sú o to nebezpečnejšie, že efektivita exploitu je 100 % (nie je nevyhnutné obchádzať ASLR) a nezáleží na prehliadači (Firefox, Chrome, Windows Explorer, Safari, Opera) či operačnom systéme.

Zaujímavá je správa, že poľská firma Security Explorations mala už v apríli oznámiť Oraclu 31 bezpečnostných dier v Jave vrátane tých, ktoré sú dnes v centre záujmu. Napriek tomu, že spoločnosť postupne opravovala tieto zraniteľnosti a informovala o svojom postupe aj expertov v Security Explorations, ako problém sa opäť ukázalo pomalé/pravidelné vydávanie záplat. Takéto vydávanie opráv síce vyhovuje firemným zákazníkom, ktorí tak majú dostatok času na otestovanie softvéru pred jeho nasadením, problematické však môže byť pre milióny bežných používateľov. Exploity sa po zverejnení totiž rýchlo stanú súčasťou hackerských nástrojov (Blackhole malware toolkit, Metasploit) a útoky môžu vykonávať aj jednotlivci s minimom znalostí.

Napriek tomu, že najbližšie pravidelné vydanie bezpečnostných záplat bolo naplánované až na 16. októbra, spoločnosť Oracle urobila v tomto prípade výnimku a s opravami sa poponáhľala. Používatelia systému Windows môžu využiť automatické stiahnutie aktualizácie prostredníctvom funkcie Java Automatic Update a nainštalovať aktualizáciu s názvom Java SE 7 Update 7. Oprava pre ostatné platformy je dostupná na adrese Java.com.


Zdroj:

https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/
http://www.theregister.co.uk/2012/08/30/oracle_issues_java_0day_patch/



Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá