Video: Endpoint Security Client Deployment and Upgrade (Oktober 2024)
Tilbage i juni fortalte vi dig om, hvordan Oracle lovede at gøre det bedre med Java og at opdatere platformen oftere. Dette var hovedstenen i en række pinlige episoder, hvor Java blev brugt igen og igen til at angribe brugere. Denne uge frigav Oracle den første af en ny serie opdateringer til Java, som de håber vil gøre de tre milliarder enheder, der kører deres produkt mere sikre. Det kan være sandt, men opdateringen er skræmmende stor med lige så skræmmende implikationer.
Laster hurtigere
Tidligere blev Java opdateret tre gange om året, men starter denne uge vil den blive opdateret kvartalsvis sammen med resten af Oracle's produkter som en del af deres Critical Patch Update eller CPU (jeg kan se, hvad du gjorde der, Oracle).
Set som en helhed inkluderer opdateringen 127 sikkerhedsrettelser. Af disse er 51 til Java og - her er den skræmmende del - 50 af disse sårbarheder kan med Oracle's ord "eksternt udnyttes uden godkendelse."
Men åh, det bliver bedre. På Qualys-bloggen skriver CTO Wolfgang Kandek "12 sårbarheder, der har den højeste CVSSv2-score på 10, hvilket indikerer, at disse sårbarheder kan bruges til at tage fuld kontrol over den angrebne maskine over netværket uden at kræve godkendelse." Han fortsætter med at påpege, at de fleste af opdateringerne påvirker bærbare og stationære brugere (f.eks. Du, der læser dette lige nu), men der er to meget kritiske opdateringer relateret til serverinstallationer.
Tid til opdatering!
De fleste brugere vil sandsynligvis modtage opdateringer automatisk, men bare for at være sikker har Oracle leveret en nyttig side til at teste, hvilken version du kører. Hvis det registrerer en forældet installation, vil den bede dig om at downloade og installere opdateringen. Bemærk, at den nyeste version fra denne uge er Java 7-opdatering 45.
Jeg vil tage et hurtigt sekund for at minde brugerne om at være meget forsigtige, når de opdaterer Java manuelt, fordi det vil prøve at overbevise dig om at installere Ask.com-værktøjslinjen og ændre din standardsøgemaskine til Spørg.
For lidt?
Selvom det er godt at se Oracle trappe op i deres sikkerhedspil, var det ikke alle, der prioriererede Oracle's træk. Sophos Senior Sikkerhedsrådgiver Chester Wisniewski skrev på sit virksomheds blog, at dette føles som for lidt for sent. "Hvis dit omdømme er dette dårlige, og du udsætter mere end en milliard brugere for dine mangler, skal du svare hurtigere."
Wisniewski fortsatte med at antage, at Oracle's prioriteringer var forkert tilpasset, og havde moden til at angribe Larry Ellisons Oracle-mærke-båd, der for nylig vandt America's Cup. "Læg prisen på hylden i din lobby, sælg båden på ti millioner dollars og ansæt de ingeniører, der er nødvendige for at opdatere Java-patch-cyklus til månedligt med de ekstra kontanter, " skrev Wisniewski. "3+ milliarder enheder vil takke dig."
Opdatering af din Java-installation er den bedste måde at holde dig beskyttet mod Java-baserede angreb, der bages i mange udnyttelsessæt og ofte bruges af angribere. Selvfølgelig kan du altid trække i stikket og deaktivere Java helt.
