Az Oracle kiadja a sürgősségi javítást a Java nullától napi kihasználásához

Az Oracle hétfőn kiadta a sürgősségi javításokat a Java számára két kritikus sebezhetőség kezelésére, amelyek közül az egyiket a hackerek aktívan kihasználják célzott támadásokban.

A CVE- 2013-1493 és CVE-2013-0809, a Java 2D komponensében találhatók, és az Oracle-től kapott legmagasabb ütközési pontszámokat.

"Ezek a biztonsági rések távolról is kiaknázhatók autentikáció nélkül, azaz hálózaton keresztül kihasználhatók anélkül, hogy felhasználónevre és jelszóra lenne szükséged - jelentette ki a cég biztonsági figyelmeztetésként. "Ahhoz, hogy a kizsákmányolás sikeres legyen, a böngészőben egy érintett kiadást futtató, gyanútlan felhasználónak meg kell látogatnia egy olyan rosszindulatú weboldalt, amely kihasználja ezeket a biztonsági réseket. A sikertelen kihasználások hatással lehetnek a felhasználó rendszerének elérhetőségére, sértetlenségére és titkosságára. "

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről]

Az újonnan kiadott frissítések a Java 7-es verzióra (7u17) és a 6-os 43 frissítés (6u43), a 7u16 és a 6u42 fölötti kihagyás miatt, amelyek nem voltak azonnal világosak.

Az Oracle megjegyzi, hogy a Java 6u43 lesz az utolsó nyilvánosan elérhető frissítés a Java 6 számára, és tanácsot ad a felhasználóknak a Java 7 frissítésére. a Java 6 frissítések nyilvános elérhetősége várhatóan a február 19-én kiadott Java 6 Update 41-gyel fejeződik be, de úgy tűnik, a vállalat kivételt tett ennek a sürgősségi javításnak.

A CVE-2013-1493 sebezhetőséget aktívan kihasználta a hogy legalább a múlt csütörtökön, amikor a FireEye biztonsági cég kutatói felfedezték támadásaikat, hogy egy távoli hozzáféréssel rendelkező malware nevű McRAT-ot telepítenek. Úgy tűnik azonban, hogy az Oracle a február eleje óta tisztában van ezzel a hibával.

"Bár a közelmúltban érkezett be a CVE-2013-1493 sérülékenység aktív kiaknázásáról szóló jelentések, a hibát eredetileg az Oracle-nek jelentették be 2013. február 1- sajnos túl késő ahhoz, hogy bekerüljön a Java SE kritikus javításának február 19-i verziójába "- mondta Eric Maurice, az Oracle szoftverbiztosítási igazgatója.

A vállalat a CVE-2013- 1493-ban a következő ütemezett Java Critical Patch Update április 16-án, Maurice mondta. Mivel azonban a támadók kihasználták a sérülékenységet, az Oracle úgy döntött, hogy hamarabb kiadja a javításokat.

A legújabb frissítésekkel foglalkozó két biztonsági rés nem érinti a kiszolgálón, a különálló Java asztali alkalmazásokon vagy a beágyazott Java-alkalmazásokon futó Java-t - mondta Maurice. A felhasználók a lehető leghamarabb telepítik a javításokat, azt mondta:

A felhasználók a Java vezérlőpult biztonsági füléről letilthatják a webalapú Java tartalom támogatását, ha nincs szükségük Java-ra az interneten. Az ilyen tartalmak biztonsági beállításai alapértelmezés szerint magasak, azaz a felhasználóknak fel kell kérniük, hogy engedélyezzék a Java böngészők alá nem írt vagy önaláírt aláírással ellátott Java appletjeinek végrehajtását.

Ezzel megakadályozható a Java-sebezhetőségek automatikus kizsákmányolása a Webes, de csak akkor működik, ha a felhasználók képesek arra, hogy megalapozott döntéseket hozzanak arról, hogy mely appleteket kell engedélyezni, és amelyekre nem. "Ahhoz, hogy megvédjék magukat, az asztali felhasználóknak csak akkor szabad engedélyezniük a kisalkalmazások végrehajtását, amikor ilyen példányokat várnak, és megbízik a származásukban" - mondta Maurice.