Oracle rushes ut en annen Java-oppdatering, fastsetter 50 sårbarheter

Etter å ha avslørt informasjon fra sikkerhetsforskere om sikkerhetsproblemer i den siste oppdateringen av Java, som ble utgitt i januar, har Oracle rushed ut foran planlegge en annen pakke med korrigeringer for programmeringsspråket.

Den nyeste oppdateringen, opprinnelig planlagt til utgivelse i februar 19, inneholder 50 sikkerhetsrettelser for 49 feil som kunne utnyttes eksternt uten autorisasjon. Det betyr at de kan brukes på et nettverk uten kjennskap til et brukernavn og passord.

Oracle sa det oppdatert tidlig fordi en av de sårbarhetene som ble adressert i oppdateringen, allerede utnyttes i naturen.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"På grunn av trusselen som følge av et vellykket angrep, anbefaler Oracle sterkt at kundene bruker CPU-reparasjoner så snart som mulig," advarte selskapet i en oppdateringsrådgivende.

Oracle rushed ut en sikkerhetsrettelse for Java i januar etter at departementet for hjemmets sikkerhetssikkerhetsberedskapsteam (US-CERT) anbefalte at programvaren deaktiveres av alle sine brukere på grunn av sikkerhetsproblemer. Disse bekymringene involverte en null dagssårbarhet som ble utnyttet av toolkits opprettet av cyberkriminelle og pleide å stjele sensitiv informasjon fra datamaskiner.

Selv etter utgivelsen av denne reparasjonen, Java 7 oppdatering 11, anbefalte byrået fortsatt å slå av Java, med mindre det var absolutt nødvendig.

Det ble raskt klart at 7u11-fikseren hadde savnet sitt merke. Bare dager etter utgivelsen begynte en hacker å begynne å peddle i det elektroniske svartmarkedet, et par nye Java Zero Day-sårbarheter for $ 5000 hver.

Andre hackere, som kanskje manglet ferdigheter for å finne sårbarheter, begynte å utnytte overskriftene om Java's woes ved å montere phishing-ekspedisjoner som tilbyr falske oppdateringer av Oracles programmeringsspråk. Etter installasjon av en bruker, installerer den falske oppdateringen en bakdør til et system som gjør at en hacker kan kontrollere den.

Feil funnet i oppdatering

Java's uhell fortsatte da senere i måneden Security Explorations, et polsk sikkerhetsfirma med en historie om å finne sikkerhetsfeil i Java, oppdaget nye sikkerhetsproblemer i 7u11-oppdateringen som kunne utnyttes for å unngå programmets sandkasse - en programmeringsteknikk som brukes til å isolere skadene skadelig kode kan gjøre for et system.

"Disse problemene vil fortsette til Oracle løser sandkassen, "sa Bitdefender Senior E-Threat Analyst, Bogdan Botezatu, i et intervju.

Botezatu var kritisk for hvor mye Oracle stolte på å sette på brukerne for å opprettholde sikkerheten i 7u11-oppdateringen.

For eksempel oppdateringen Angir som standard det høyeste sikkerhetsnivået for Java. På det nivået, når en usignert Java-applet prøver å kjøre i en nettleser, vises en melding som advarer en bruker om at appen kan være farlig og at brukeren skal gå på egen risiko.

Brukerne ignorerer vanligvis slike advarsler fordi de finner dem irriterende. Det er spesielt sant for barn som spiller Java-spill på nettet, et faktum, påpeker Botezatu, ikke tapt på digitale desperader. "Jeg har sett mange nettsteder som kjører Java-malware på sider som har blitt optimalisert med søkeord rettet mot barn," sa han.

Med den nyeste Java-oppdateringen kan Oracle prøve å endre lykken med programmet. Det ser ut til å ha hoppet over oppdatering 12 i nummereringsskjemaet og utpekt den nyeste bunten av reparasjoner Java 7 update 13.