Image
31.8.2012 0 Comments

Oprava pre kritické chyby v Jave je už dostupná

java-7.jpg Zraniteľnosti v Jave, ktoré na prelome týždňa vyšli na povrch, sa vo štvrtok dočkali záplaty. Vtedy spoločnosť FireEye upozornila na existujúci spôsob vzdialene spustiť kód umožňujúci kompletné ovládnutie počítača používateľa. Objavené exploity sa na internete používali pri cielených útokoch. Zneužívané bezpečnostné nedostatky sa nachádzajú vo verziách Java Runtime Environment (JRE) 1.7 a neskorších.

Objavené exploity využívali payload pre Windows (súbory EXE), ale po preskúmaní zraniteľnosti bolo jasné, že tieto bezpečnostné diery možno využiť aj na napadnutie počítačov s Linuxom či Mac OS X. Zraniteľné sú všetky webové prehliadače s nainštalovanou Javou v kritických verziách. Tieto zraniteľnosti v Jave sú o to nebezpečnejšie, že efektivita exploitu je 100 % (nie je nevyhnutné obchádzať ASLR) a nezáleží na prehliadači (Firefox, Chrome, Windows Explorer, Safari, Opera) či operačnom systéme.

Zaujímavá je správa, že poľská firma Security Explorations mala už v apríli oznámiť Oraclu 31 bezpečnostných dier v Jave vrátane tých, ktoré sú dnes v centre záujmu. Napriek tomu, že spoločnosť postupne opravovala tieto zraniteľnosti a informovala o svojom postupe aj expertov v Security Explorations, ako problém sa opäť ukázalo pomalé/pravidelné vydávanie záplat. Takéto vydávanie opráv síce vyhovuje firemným zákazníkom, ktorí tak majú dostatok času na otestovanie softvéru pred jeho nasadením, problematické však môže byť pre milióny bežných používateľov. Exploity sa po zverejnení totiž rýchlo stanú súčasťou hackerských nástrojov (Blackhole malware toolkit, Metasploit) a útoky môžu vykonávať aj jednotlivci s minimom znalostí.

Napriek tomu, že najbližšie pravidelné vydanie bezpečnostných záplat bolo naplánované až na 16. októbra, spoločnosť Oracle urobila v tomto prípade výnimku a s opravami sa poponáhľala. Používatelia systému Windows môžu využiť automatické stiahnutie aktualizácie prostredníctvom funkcie Java Automatic Update a nainštalovať aktualizáciu s názvom Java SE 7 Update 7. Oprava pre ostatné platformy je dostupná na adrese Java.com.


Zdroj:

https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/
http://www.theregister.co.uk/2012/08/30/oracle_issues_java_0day_patch/



Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Splňte si sen a začnite inštalovať alarmy. Certifikované školenie v Košiciach!

04.02.2020 08:39

Špeciálny projekt Chceli by ste začať montovať alarmy od overeného českého výrobcu Jablotron? Uvažujete nad tým, že by ste sa tým začali živiť? Teraz máte unikátnu možnosť! Jablotron v Košiciach prip ...

Bezpečnosť

Aplikácia, ktorá vám prezradí, či vás špehujú inteligentné zariadenia v okolí

25.02.2020 00:00

Tím výskumníkov z univerzity Carnegie Mellon predstavil aplikáciu Internet of Things Assistant, ktorej úlohou je určiť, aké inteligentné zariadenia sú vo vašom okolí a špehujú vás. Môže ísť o verejné ...

Bezpečnosť

DARPA pripravuje v rámci programu Gunslinger projekt „lietajúcej zbrane“

20.02.2020 00:03

V rámci programu Gunslinger sa budú vyvíjať a demonštrovať technológie, ktoré umožnia vytvoriť vzdušný taktický raketový systém, schopný podporiť rôzne misie. Mal by spájať vysokú ovládateľnosť raketo ...

Žiadne komentáre

Vyhľadávanie

itSMF 2020

Najnovšie videá