Oracle utgir beredskapsfeil for Java-nulldagutnyttelse

Oracle utgav beredskapslister for Java på mandag for å ta opp to kritiske sårbarheter, hvorav en blir aktivt utnyttet av hackere i målrettede angrep.

Sårbarhetene, identifisert som CVE- 2013-1493 og CVE-2013-0809, befinner seg i 2D-komponenten i Java og mottok den høyest mulige effektpoeng fra Oracle.

"Disse sikkerhetsproblemene kan være eksternt utnyttbare uten godkjenning, det vil si at de kan utnyttes over et nettverk uten behov for brukernavn og passord, "sa selskapet i et sikkerhetsvarsel. "For at en utnytte skal lykkes, må en intetanende bruker som kjører en berørt utgave i en nettleser, besøke en skadelig nettside som utnytter disse sikkerhetsproblemene. Suksessfulle utnyttelser kan påvirke tilgjengeligheten, integriteten og konfidensialiteten til brukerens system. "

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

De nylig utgitte oppdateringene støter Java til versjoner 7 Oppdatering 17 (7u17) og 6 oppdateringer 43 (6u43), hopper over 7u16 og 6u42 av grunner som ikke var umiddelbart klare.

Oracle konstaterer at Java 6u43 vil være den siste offentlig tilgjengelige oppdateringen til Java 6 og anbefaler brukere å oppgradere til Java 7. Den offentlig tilgjengeligheten av Java 6-oppdateringer skulle avsluttes med Java 6 Update 41, utgitt 19. februar, men det ser ut til at selskapet gjorde et unntak for denne nødoppdateringen.

Sværheten CVE-2013-1493 har blitt utnyttet aktivt av angripere siden minst i torsdag da forskere fra sikkerhetsfirma FireEye oppdaget angrep ved å bruke den til å installere et stykke fjerntilgangs malware kalt McRAT. Det ser imidlertid ut til at Oracle var klar over denne feilens eksistens siden begynnelsen av februar.

"Selv om rapporter om aktiv utnyttelse av sårbarhet CVE-2013-1493 nylig ble mottatt, ble denne feilen opprinnelig rapportert til Oracle 1. februar 2013, Dessverre for sent for å bli inkludert i den 19. februar utgivelsen av Critical Patch Update for Java SE, sier Eric Maurice, Oracles direktør for programvareforsikring, i et blogginnlegg mandag.

Selskapet hadde planlagt å fikse CVE-2013- 1493 i den neste planlagte Java Critical Patch Update den 16. april, sa Maurice. Siden sårbarheten begynte å bli utnyttet av angripere, bestemte Oracle seg for å frigjøre en patch tidligere.

De to sårbarhetene som er adressert med de nyeste oppdateringene, påvirker ikke Java som kjører på servere, frittstående Java-skrivebordsprogrammer eller innebygde Java-programmer, Sa Maurice. Brukere anbefales å installere oppdateringene så snart som mulig, sier han.

Brukere kan deaktivere støtte for webbasert Java-innhold fra sikkerhetsfanen i Java-kontrollpanelet hvis de ikke trenger Java på nettet. Sikkerhetsinnstillingene for slikt innhold er satt til høy som standard, noe som betyr at brukere blir bedt om å autorisere utførelsen av Java-applets som er usignerte eller selvsignerte i nettlesere.

Dette er utformet for å forhindre den automatiserte utnyttelsen av Java-sårbarheter over Internett, men fungerer bare hvis brukerne er i stand til å ta informerte beslutninger om hvilke applets å autorisere og hvilke ikke til. "For å beskytte seg selv, bør desktop brukere bare tillate utførelsen av applets når de forventer slike applets og stoler på opprinnelsen deres," sa Maurice.