Image
31.8.2012 0 Comments

Oprava pre kritické chyby v Jave je už dostupná

java-7.jpg Zraniteľnosti v Jave, ktoré na prelome týždňa vyšli na povrch, sa vo štvrtok dočkali záplaty. Vtedy spoločnosť FireEye upozornila na existujúci spôsob vzdialene spustiť kód umožňujúci kompletné ovládnutie počítača používateľa. Objavené exploity sa na internete používali pri cielených útokoch. Zneužívané bezpečnostné nedostatky sa nachádzajú vo verziách Java Runtime Environment (JRE) 1.7 a neskorších.

Objavené exploity využívali payload pre Windows (súbory EXE), ale po preskúmaní zraniteľnosti bolo jasné, že tieto bezpečnostné diery možno využiť aj na napadnutie počítačov s Linuxom či Mac OS X. Zraniteľné sú všetky webové prehliadače s nainštalovanou Javou v kritických verziách. Tieto zraniteľnosti v Jave sú o to nebezpečnejšie, že efektivita exploitu je 100 % (nie je nevyhnutné obchádzať ASLR) a nezáleží na prehliadači (Firefox, Chrome, Windows Explorer, Safari, Opera) či operačnom systéme.

Zaujímavá je správa, že poľská firma Security Explorations mala už v apríli oznámiť Oraclu 31 bezpečnostných dier v Jave vrátane tých, ktoré sú dnes v centre záujmu. Napriek tomu, že spoločnosť postupne opravovala tieto zraniteľnosti a informovala o svojom postupe aj expertov v Security Explorations, ako problém sa opäť ukázalo pomalé/pravidelné vydávanie záplat. Takéto vydávanie opráv síce vyhovuje firemným zákazníkom, ktorí tak majú dostatok času na otestovanie softvéru pred jeho nasadením, problematické však môže byť pre milióny bežných používateľov. Exploity sa po zverejnení totiž rýchlo stanú súčasťou hackerských nástrojov (Blackhole malware toolkit, Metasploit) a útoky môžu vykonávať aj jednotlivci s minimom znalostí.

Napriek tomu, že najbližšie pravidelné vydanie bezpečnostných záplat bolo naplánované až na 16. októbra, spoločnosť Oracle urobila v tomto prípade výnimku a s opravami sa poponáhľala. Používatelia systému Windows môžu využiť automatické stiahnutie aktualizácie prostredníctvom funkcie Java Automatic Update a nainštalovať aktualizáciu s názvom Java SE 7 Update 7. Oprava pre ostatné platformy je dostupná na adrese Java.com.


Zdroj:

https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/
http://www.theregister.co.uk/2012/08/30/oracle_issues_java_0day_patch/



Nechajte si posielať prehľad najdôležitejších správ emailom

Bezpečnosť

5 tipov ako vybrať správny firemný firewall

19.09.2019 00:15

Kybernetickú bezpečnosť dnes čoraz viac firiem berie ako prioritu najvyššieho manažmentu. Napriek tomu mnoho organizácií stále nevie, ako správne budovať bezpečnostnú architektúru. Kľúčom k maximálne ...

Bezpečnosť

Google Nest Hub Max s Face Match vás sleduje naozaj stále

18.09.2019 00:10

Google Nest Hub Max sa javí ako pomerne inteligentné zariadenie. Má niekoľko zaujímavých funkcií, okrem iného dokáže zobraziť kalendár alebo obsah prispôsobený osobe, ktorá sa naň pozerá. To všetko b ...

Bezpečnosť

6 najväčších podnikových e-mailových hrozieb

17.09.2019 00:05

V roku 2019 je podľa niektorých odhadov poslaných a prijatých okolo 300 miliárd obchodných a osobných e-mailov každý deň a toto číslo do budúcnosti porastie, hlavne vo firemnej sfére. Rastúca e-mailo ...

q

Žiadne komentáre

ACER_092019

Videá

elearn

IT GALA stvorec 2019