Image
31.8.2012 0 Comments

Oprava pre kritické chyby v Jave je už dostupná

java-7.jpg Zraniteľnosti v Jave, ktoré na prelome týždňa vyšli na povrch, sa vo štvrtok dočkali záplaty. Vtedy spoločnosť FireEye upozornila na existujúci spôsob vzdialene spustiť kód umožňujúci kompletné ovládnutie počítača používateľa. Objavené exploity sa na internete používali pri cielených útokoch. Zneužívané bezpečnostné nedostatky sa nachádzajú vo verziách Java Runtime Environment (JRE) 1.7 a neskorších.

Objavené exploity využívali payload pre Windows (súbory EXE), ale po preskúmaní zraniteľnosti bolo jasné, že tieto bezpečnostné diery možno využiť aj na napadnutie počítačov s Linuxom či Mac OS X. Zraniteľné sú všetky webové prehliadače s nainštalovanou Javou v kritických verziách. Tieto zraniteľnosti v Jave sú o to nebezpečnejšie, že efektivita exploitu je 100 % (nie je nevyhnutné obchádzať ASLR) a nezáleží na prehliadači (Firefox, Chrome, Windows Explorer, Safari, Opera) či operačnom systéme.

Zaujímavá je správa, že poľská firma Security Explorations mala už v apríli oznámiť Oraclu 31 bezpečnostných dier v Jave vrátane tých, ktoré sú dnes v centre záujmu. Napriek tomu, že spoločnosť postupne opravovala tieto zraniteľnosti a informovala o svojom postupe aj expertov v Security Explorations, ako problém sa opäť ukázalo pomalé/pravidelné vydávanie záplat. Takéto vydávanie opráv síce vyhovuje firemným zákazníkom, ktorí tak majú dostatok času na otestovanie softvéru pred jeho nasadením, problematické však môže byť pre milióny bežných používateľov. Exploity sa po zverejnení totiž rýchlo stanú súčasťou hackerských nástrojov (Blackhole malware toolkit, Metasploit) a útoky môžu vykonávať aj jednotlivci s minimom znalostí.

Napriek tomu, že najbližšie pravidelné vydanie bezpečnostných záplat bolo naplánované až na 16. októbra, spoločnosť Oracle urobila v tomto prípade výnimku a s opravami sa poponáhľala. Používatelia systému Windows môžu využiť automatické stiahnutie aktualizácie prostredníctvom funkcie Java Automatic Update a nainštalovať aktualizáciu s názvom Java SE 7 Update 7. Oprava pre ostatné platformy je dostupná na adrese Java.com.


Zdroj:

https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/
http://www.theregister.co.uk/2012/08/30/oracle_issues_java_0day_patch/



Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Bezpečnosť 1

Ministri dopravy únie schválili prvé celoeurópske bezpečnostné pravidlá pre drony

05.12.2016 00:10

Ministri dopravy krajín Európskej únie schválili úpravu pravidiel v oblasti civilného letectva. Bezpečnosť v doprave bola pritom hlavnou témou zasadnutia, ktorého sa za predsedajúcu krajinu zúčastnil ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá