Car-tech

Oracles Java-oppdatering inneholder nye hull, forskere advarer

String Theory Explained – What is The True Nature of Reality?

String Theory Explained – What is The True Nature of Reality?

Innholdsfortegnelse:

Anonim

Forskere fra Security Explorations, et polskbasert sårbarhetsforskningsfirma, hevder å ha funnet to nye sikkerhetsproblemer i Java 7 Update 11 som kan utnyttes for å omgå programvarens sikkerhetssandkasse og utføre vilkårlig kode på datamaskiner.

Oracle lanserte Java 7 Update 11 i går sist søndag som en nødsikkerhetsoppdatering for å blokkere en nulldagers utnyttelse som brukes av cyberkriminelle til å infisere datamaskiner med skadelig programvare. at en komplett Java-sikkerhetssandboks-bypass fortsatt kan oppnås under Java 7 Update 11 (JRE versjon 1.7.0_11-b21) ved å utnytte to nye sikkerhetsproblemer oppdaget av Selskapets forskere, Adam Gowdiak, selskapets grunnlegger, sa fredag ​​i en melding sendt til mailinglisten Full Disclosure. Sårbarhetene ble rapportert til Oracle på fredag, sammen med arbeidskodeks for utnyttelse av kode, sa han.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I henhold til Security Explorations ' Tekniske detaljer om sikkerhetsproblemene blir ikke offentliggjort før leverandøren utsteder en patch.

Urelaterte sårbarheter

Forskere fra sikkerhetsfirmaet Immunitet som analyserte bruken som ble brukt av cyberkriminelle siden forrige uke konkluderte med at den også kombinerte to sårbarheter for å oppnå en Java sandkasse unnslippe. Imidlertid sa de senere i et blogginnlegg at Java 7 Update 11 bare adresserte en av dem og advarte om at hvis angripere finner et annet sårbarhet for å erstatte den patched-en, kan det opprettes en ny utnyttelse.

Sårbarhetene oppdaget av sikkerhetsoppdagelser er adskilt fra den som ikke ble oppdatert av Oracle i Java 7 Update 11, sa Gowdiak fredag ​​via e-post.

Noen sikkerhetsforskere, inkludert de fra US Computer Emergency Readiness Team (US-CERT), fortsatte å anbefale brukere å deaktivere Java nettleser-plugin-modulen til tross for utgivelsen av Java 7 Update 11, med henvisning til bekymringer for at lignende angrep kan oppstå i fremtiden.

"Det er definitivt noe å bekymre seg for kvaliteten på Java SE 7-koden," sa Gowdiak. Dette kan tyde på mangelen på et skikkelig sikkerhetsutviklingslivssyklusprogram for Java eller noen andre problemer som er interne for Oracle, sa han.

Når det er sagt, er det faktum at Java 7 Update 11 ber om bekreftelse av brukere før de tillater Java-appletter utført inne i nettleserne er definitivt et skritt i riktig retning og kan blokkere mange angrep, sa Gowdiak.