Az Oracle egy másik Java-frissítést fut ki, javítva 50 sebezhetőséget

A biztonsági kutatók által a januárban kiadott legfrissebb Java-frissítésben jelentett sérülékenységek nyilvánosságra hozatalát követően az Oracle előrehozott egy újabb kötegeket a programnyelvre.

A legutóbbi frissítés, amely eredetileg február A 19-es verzió 49 biztonsági hibát tartalmaz 49 olyan hibára vonatkozóan, amelyek engedély nélkül távolíthatóak el. Ez azt jelenti, hogy egy felhasználónév és jelszó ismerete nélkül is használhatók a hálózaton.

Az Oracle azt mondta, hogy korán frissült, mert a frissítés egyik sérülékenységét már kihasználják a vadonban.

[További olvasmány: Hogyan lehet eltávolítani a rosszindulatú programokat Windows számítógépről]

"A sikeres támadás fenyegetése miatt az Oracle a lehető leghamarabb javasolja az ügyfelek számára a CPU-javítások alkalmazását" - figyelmeztette a vállalat a frissítési tanácsadásban.

Az Oracle rohant januárban egy biztonsági javítást javasol a Java számára, miután a Belbiztonsági Számítógép Emergency Readiness Team (US-CERT) a biztonsági aggályok miatt javasolta a szoftver letiltását. Ezek az aggodalmak azzal jártak, hogy a Zero Day sebezhetőséget kiaknázzák a számítógépes bűnözők által létrehozott eszközkészletek, és az érzékeny adatokat számítógépekről lopják el.

Még a Javítás Java 7 frissítésének 11 kiadása után is az ügynökség továbbra is javasolta a Java kikapcsolását, szükséges.

Gyorsan nyilvánvalóvá vált, hogy a 7u11 javítás kihagyta a jelölését. Néhány nappal a kiadása után egy hacker elkezdte az online fekete piacon egy pár új Java Zero Day sebezhetőséget egyenként 5000 dollárért.

Az egyéb hackerek, akik talán hiányoztak a sebezhetőségek felfedezéséhez szükséges készségekkel, felhasználták a Java-bajokat adathalász expedíciók, amelyek az Oracle programnyelvének hamis frissítéseit kínálják. A telepítés után a hamis frissítés telepíti a hátsó ajtót egy olyan rendszerre, amely lehetővé teszi a hacker számára, hogy irányíthassa azt.

A frissítés során talált hibák

A Java sikertelenségei folytatódtak, amikor a hónapban a Security Explorations, egy lengyel biztonsági cég a biztonsági hibák felfedezésének története Java-ban, a 7u11-es frissítés új sebezhető pontjait fedezték fel, amelyek kihasználhatók a program homokozójának elkerülése érdekében - egy olyan programozási technika, amelyet a kártékony rendszer kódja okozhat.

"Ezek a problémák továbbra is fennállnak amíg az Oracle nem javítja a homokdobozot "- mondja Bogdan Botezatu, a Bitdefender Senior E-Threat Analyst.

Botezatu kritizálta, hogy az Oracle milyen mértékben támaszkodott a felhasználóknak a biztonság fenntartására a 7u11 frissítésben.

alapértelmezés szerint a legmagasabb biztonsági szintet állítja be a Java számára. Abban a szinten, amikor egy aláírás nélküli Java applet megpróbál futtatni egy böngészőben, egy üzenet jelenik meg, amelyben figyelmezteti a felhasználót, hogy az alkalmazás veszélyes lehet, és hogy a felhasználó saját felelősségére járjon el.

Általában a felhasználók figyelmen kívül hagyják az ilyen figyelmeztetéseket bosszantónak találják őket. Ez különösen igaz azoknak a gyerekeknek, akik Java játékokat játszanak a világhálón - ez egy tény, melyet Botezatu rámutat, és nem veszíti el a digitális démonokat. "Sok olyan webhelyet láttam, amelyeken Java kártevőket futtattak olyan oldalakon, amelyekre optimalizálták a gyermekeket célzó kulcsszavakat."

A legfrissebb Java-frissítéssel az Oracle megpróbálhatja megváltoztatni szerencséjét a programban. Úgy tűnik, hogy kihagyta a 12-es frissítést a számozási sémájában, és kijelölte a Java 7 frissítés legfrissebb javítási kötegét.