Oracle lanserer nye Java-løsninger, øker patchesyklusen

Oracle ga ut nye Java-sikkerhetsoppdateringer tirsdag og annonserte planer om å akselerere utgivelsen av fremtidige Java-patcher etter de siste angrepene som har infiserte datamaskiner med skadelig programvare ved å utnytte sikkerhetsproblemer med nulldag i Java-nettleser-plugin-moduler.

De nye oppdateringene, Java 7 Update 15 og Java 6 Update 41, adresserer ytterligere fem sårbarheter som ikke kunne inkluderes i den aktuelle Java-oppdateringen at Oracle utgitt 1. februar på grunn av tidsbegrensninger. På den tiden brøt Oracle ut av den planlagte 4-måneders Java-patch-syklusen for å lappe en sårbarhet som ble utnyttet av hackere.

Fire av de fem sårbarhetene som ble adressert i tirsdag oppdateringer, kan utnyttes via Java Web Start Applikasjoner på skrivebord og Java-applets i nettlesere, Eric Maurice, Oracles direktør for programvareforsikring, sa tirsdag i et blogginnlegg.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Tre av de fire sårbarhetene mottatt den høyeste karakteren på skalaen Common Vulnerability Scoring System - 10 - som betyr at de er kritiske og kan utnyttes for å kompromittere konfidensialiteten, integriteten og tilgjengeligheten til systemer der Java kjører med administratorrettigheter, for eksempel Windows XP. På systemer der Java ikke kjører med administrative rettigheter, for eksempel Linux eller Solaris, er effekten lavere, sa Maurice.

Det femte sikkerhetsproblemet påvirker serverutplasseringen av Java Secure Socket Extension (JSSE) og stammer fra Lucky Thirteen-angrepet Selv om den nye Java 6 Update 41 er tilgjengelig for nedlasting fra Oracles nettsted, er den ikke tilgjengelig fra Java.com, og må hentes manuelt. Oppdateringsfunksjonen i Java 6-installasjoner vil bede brukere om å laste ned og installere Java 7 Update 15.

Dette var et planlagt trekk fra Oracle, som tidligere annonserte på sin websitet, at den vil "starte automatisk oppdatering av alle Windows 32-biters brukere fra JRE 6 til JRE 7 med oppdateringsversjonen av Java, Java SE 7 Update 15 (Java SE 7u15), på grunn i februar 2013. "

Oracle vil øke hastigheten på patch-syklusen for Java. "Oracle har til hensikt å fortsette å akselerere utgivelsen av Java-reparasjoner, spesielt for å bidra til sikkerhetsverdigheten til Java Runtime Environment (JRE) i desktop-nettlesere, sier Maurice.

Den neste planlagte kritiske oppdateringen for Java SE vil bli utgitt 16. april, to måneder fra nå i stedet for fire, og kommer samtidig med Critical Patch Update for Oracles ikke-Java-produkter. Den neste oppdateringen av Java-oppdateringen etter det er planlagt 18. juni.