Video: Sheep Among Wolves Volume II (Official Feature Film) (Oktober 2024)
Oracle har frigivet en nødopdatering for at lukke en alvorlig sikkerhedsfejl i Java, der allerede blev brugt af angribere til at bryde ind i brugercomputere.
Uden for båndopdateringen adresserer den for nylig opdagede kritiske sårbarhed i Oracle's Java 7, sagde Oracle i sin sikkerhedsrådgivende frigivede 13. januar. En angriberen ville udnytte den seneste fejl ved at narre brugerne til at besøge et websted, der kører en ondsindet applet. Brugere rådes til straks at opdatere til Java 7 Update 11.
Java 7 Update 11 formindsker både CVE-2013-0422 (den seneste sårbarhed) såvel som CVE-2012-3174, en ældre fejlkørsel til ekstern kode, der går tilbage til sidste juni. Begge fejl fik en Common Vulnerability Scoring System-vurdering på 10, den maksimale mulige score på denne skala. I denne patch lukkede Oracle fejlen og ændrede også, hvordan Java interagerede med webapplikationer.
"Standard sikkerhedsniveauet for Java-appleter og webstart-applikationer er blevet forhøjet fra 'medium' til 'højt, ' sagde Oracle i det rådgivende.
Dette betyder, at brugeren altid bliver bedt om, før en usigneret Java-applet eller Web Start-applikation kan køre. Tidligere kørte Java-appleter og applikationer automatisk, da brugerne havde den nyeste version af Java installeret. Med den "høje" indstilling advares brugeren altid, før et usigneret program køres, så angribere ikke kan være i stand til at starte tavse angreb, sagde Oracle.
Patch uden for båndet
En nødopdatering fra Oracle er usædvanlig. Virksomheden laver normalt Java på en kvartalscyklus, men frigav sandsynligvis denne out-of-band fix, fordi angrebskoden, der udnytter denne sårbarhed, allerede er føjet til flere populære udnyttelsessæt, herunder "Blackhole" og "NuclearPack." Crimware-sæt gør det lettere for kriminelle at inficere computere med malware og overtage maskinerne til deres eget uærlige formål. Forskere har allerede afsløret websteder, der kører koden, selvom det ikke vides i øjeblikket, hvor mange brugere der allerede er blevet kompromitteret.
Oracle frigav tidligere en out-of-band patch sidste efterår, efter at forskere afslørede en lignende fjern eksekveringsfejl.
Påvirker Java i webbrowsere, ikke på desktop
Det er vigtigt at huske, at de to sårbarheder i forbindelse med eksekvering af fjernkode, der er rettet i denne opdatering, "kun gælder for Java i webbrowsere, fordi de kan udnyttes gennem ondsindede browserapplets, " skrev Eric Maurice, Oracels direktør for sikkerhedssikkerhedssoftware til software på Oracle Software Security Assurance Blog. Hvis du ikke regelmæssigt får adgang til websteder, der kører Java, er det værd at deaktivere Java-pluginet i din browser. Her er de trinvise instruktioner om, hvordan du deaktiverer Java fra SecurityWatchs Neil Rubenking.
Mange desktop-applikationer og populære spil (Minecraft, nogen?) Bruger Java, men den lokale Java-klient er ikke under angreb.
"Disse sårbarheder påvirker ikke Java på servere, Java-desktop-applikationer eller indlejret Java, " skrev Maurice.
