Загрузка и установка СУБД ORACLE / Илья Хохлов
Oracle utgav beredskapslister for Java på mandag for å ta opp to kritiske sårbarheter, hvorav en blir aktivt utnyttet av hackere i målrettede angrep.
Sårbarhetene, identifisert som CVE- 2013-1493 og CVE-2013-0809, befinner seg i 2D-komponenten i Java og mottok den høyest mulige effektpoeng fra Oracle.
"Disse sikkerhetsproblemene kan være eksternt utnyttbare uten godkjenning, det vil si at de kan utnyttes over et nettverk uten behov for brukernavn og passord, "sa selskapet i et sikkerhetsvarsel. "For at en utnytte skal lykkes, må en intetanende bruker som kjører en berørt utgave i en nettleser, besøke en skadelig nettside som utnytter disse sikkerhetsproblemene. Suksessfulle utnyttelser kan påvirke tilgjengeligheten, integriteten og konfidensialiteten til brukerens system. "
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]De nylig utgitte oppdateringene støter Java til versjoner 7 Oppdatering 17 (7u17) og 6 oppdateringer 43 (6u43), hopper over 7u16 og 6u42 av grunner som ikke var umiddelbart klare.
Oracle konstaterer at Java 6u43 vil være den siste offentlig tilgjengelige oppdateringen til Java 6 og anbefaler brukere å oppgradere til Java 7. Den offentlig tilgjengeligheten av Java 6-oppdateringer skulle avsluttes med Java 6 Update 41, utgitt 19. februar, men det ser ut til at selskapet gjorde et unntak for denne nødoppdateringen.
Sværheten CVE-2013-1493 har blitt utnyttet aktivt av angripere siden minst i torsdag da forskere fra sikkerhetsfirma FireEye oppdaget angrep ved å bruke den til å installere et stykke fjerntilgangs malware kalt McRAT. Det ser imidlertid ut til at Oracle var klar over denne feilens eksistens siden begynnelsen av februar.
"Selv om rapporter om aktiv utnyttelse av sårbarhet CVE-2013-1493 nylig ble mottatt, ble denne feilen opprinnelig rapportert til Oracle 1. februar 2013, Dessverre for sent for å bli inkludert i den 19. februar utgivelsen av Critical Patch Update for Java SE, sier Eric Maurice, Oracles direktør for programvareforsikring, i et blogginnlegg mandag.
Selskapet hadde planlagt å fikse CVE-2013- 1493 i den neste planlagte Java Critical Patch Update den 16. april, sa Maurice. Siden sårbarheten begynte å bli utnyttet av angripere, bestemte Oracle seg for å frigjøre en patch tidligere.
De to sårbarhetene som er adressert med de nyeste oppdateringene, påvirker ikke Java som kjører på servere, frittstående Java-skrivebordsprogrammer eller innebygde Java-programmer, Sa Maurice. Brukere anbefales å installere oppdateringene så snart som mulig, sier han.
Brukere kan deaktivere støtte for webbasert Java-innhold fra sikkerhetsfanen i Java-kontrollpanelet hvis de ikke trenger Java på nettet. Sikkerhetsinnstillingene for slikt innhold er satt til høy som standard, noe som betyr at brukere blir bedt om å autorisere utførelsen av Java-applets som er usignerte eller selvsignerte i nettlesere.
Dette er utformet for å forhindre den automatiserte utnyttelsen av Java-sårbarheter over Internett, men fungerer bare hvis brukerne er i stand til å ta informerte beslutninger om hvilke applets å autorisere og hvilke ikke til. "For å beskytte seg selv, bør desktop brukere bare tillate utførelsen av applets når de forventer slike applets og stoler på opprinnelsen deres," sa Maurice.
Microsoft utgir interne sikkerhetsverktøy, metoder
Microsoft vil snart slippe verktøy og metoder den har brukt de siste årene for å redusere antall sikkerhetsproblemer i ...
Vil Oracle være bra for Java-utviklere? Det er spørsmålet om alles hjerner i årets JavaOne-utviklerkonferanse, det siste showet før Oracles planlagte kjøp av Java-skaperen Sun Microsystems på 7,4 milliarder dollar. Oracle CEO Larry Ellison gjorde et overraskende utseende på showets åpningstangent i tirsdag og forsøkte å overvinne utviklerens bekymringer. Mens han antydet at det ville være noen endringer, sa han i hovedsak at det vil være forretning som vanlig for Java når oppkjøpet er avsluttet.
Men Oracle er ingen Sun. Sun har lenge slitt med å holde sitt mangfoldige samfunn av utviklere lykkelige, skape et byrdefullt byråkrati for å håndtere utviklingen av Java-standarder og gradvis frigjøre viktige komponenter på plattformen under en åpen kildekode lisens. Mens Sun har tjent penger fra Java-lisenser, har det gått glipp av store muligheter til å selge lukrative Java-utviklingsverktøy og mellomvare-servere.
Feil og reparasjoner: En sjelden beredskapsfeil fra Microsoft
Problemer med ActiveX-kontroller ber om en feilfri patch. Plus: Nullagdsangrep på flere Adobe-apper, og en oppdatering til Firefox.