Video: How to install Java 6/7/8 in Ubuntu Linux (Oktober 2024)
Oracle har udsendt endnu en nødopdatering til Java. Dette er den tredje nødopdatering, som virksomheden har frigivet i 2013 for at løse gabende sikkerhedsproblemer i Java, som allerede blev brugt i angreb.
De seneste opdateringer, Java 7-opdatering 17 og Java 6-opdatering 43, adresserede CVE-2013-1493 og en relateret sårbarhed (CVE-2013-0809), sagde Oracle i sin sikkerhedsrådgivning, der blev offentliggjort mandag. Begge sårbarheder påvirker 2D-komponenten i Java SE, der håndterer runtime-grafik, og hvordan billeder gengives, ifølge et blogindlæg fra Eric Maurice, software-sikkerhedsdirektør hos Oracle.
Alle Java-brugere skal straks opgradere til de nyeste versioner, siger virksomheden.
"Disse sårbarheder kan fjernes udnyttes uden autentificering, dvs. de kan udnyttes over et netværk uden behov for et brugernavn og adgangskode, " skrev Oracle.
Angribere kan narre intetanende brugere til at besøge en ondsindet hosting-kode, der udløser disse sikkerhedsmangler, sagde Oracle. Forskere opdagede angreb i naturen og inficerede brugercomputere med McRAT-fjernadgang Trojan. McRAT kontakter kommando- og kontrolservere og kopierer sig selv til Windows-operativsystemprocesserne.
Udnyttelse, hvis det lykkes, "kan påvirke tilgængeligheden, integriteten og fortroligheden af brugerens system, " skrev Oracle.
Masser af opdateringer, deaktiver hvis du kan
Oracle opdaterede Java i midten af januar og igen i begyndelsen af februar med nødopdateringer, efter at der blev rapporteret over julen om en række vandhulstilangreb, der påvirkede forskellige steder. Virksomheden gennemførte en planlagt opdatering med adresse på 50 fejl den 19. februar. Disse to fejl blev rapporteret til Oracle 1. februar, men kunne ikke inkluderes i opdateringen 19. februar, skrev Maurice.
I betragtning af den næste planlagte Java-opdatering var i april, besluttede virksomheden at frigive en out-of-band patch, fordi fejlen blev brugt aktivt i angreb.
"For at hjælpe med at bevare sikkerhedsstillingen for alle Java SE-brugere besluttede Oracle at frigive en rettelse for denne sårbarhed og en anden tæt relateret fejl så hurtigt som muligt, " skrev Maurice.
Maurice forsikrede brugere om, at problemerne kun er til stede i Java-applikationer, der kører i webbrowsere, og ikke gælder for Java, der kører på servere, standalone Java desktop-applikationer, eller indlejrede Java-applikationer eller Oracle-serverbaseret software. Mange sikkerhedseksperter og Department of Homeland Security Computer Emergency Response Team (CERT) anbefaler, at brugere deaktiverer Java-plugin i deres browsere, hvis de ikke bruger det regelmæssigt.
Hvis brugeren har brug for Java, som dækker et stort flertal af forretnings- og uddannelsesbrugere, er det værd at holde en separat browser med Java-plug-in installeret og bruge denne browser til kun at få adgang til disse websteder.
"Det er godt at se Oracle reagere hurtigere på kritiske sårbarheder, men det er langt fra tid til at gøre et dybere dyk på Java's sikkerhedsproblemer, " fortalte Lamar Bailey, direktør for sikkerhedsundersøgelser og -udvikling hos nCircle, til SecurityWatch . "Jeg håber, at Oracle allerede har tildelt et team af deres bedste sikkerhedsingeniører til proaktivt at sprænge nogle af de resterende Java-sikkerhedsproblemer, men indtil da vil brugerne opdatere Java, så ofte de opdaterer AV-underskrifter, " sagde han.
Java 6 trådte ud i slutningen af dette liv i februar og anspore til bekymring for, om Oracle ville lade den ældre version være uovertruffen. Oracle lappet Java 6 i denne opdatering, som stadig bruges af mange brugere. Det er ikke klart, hvordan Oracle vil håndtere programrettelser til Java 6 i de næste par måneder.
"Jeg har altid troet, at Oracle gjorde et godt stykke arbejde med at sikre deres produkter, men det nylige udslæt af Java-sårbarheder får mig til at miste troen, " sagde Bailey og tilføjede, at han nu undrer sig over, hvad slags alvorlige sikkerhedsproblemer der er i Oracle's andre produkter..
Flere Java-fejl fundet
I et løbende spil med kat og mus betyder en Java-opdatering, at det er tid til flere afsløringer af sårbarheden. Adam Gowdiak, leder af det polske forskningsfirma Security Explorations, fandt yderligere fem Java 7-problemer.
"Fem nye sikkerhedsproblemer blev opdaget i Java SE 7 (nummer 56 til 60), som når de kombineres sammen med succes kan bruges til at få en komplet Java-sikkerhedssandbox-bypass i miljøet i Java SE 7-opdatering 15, " skrev Gowdiak mandag om Bugtraq-postliste. Det ser ud til, at angribere ville være i stand til at bruge problemerne til at bryde nogle af de sikkerhedskontroller, som Oracle for nylig har implementeret, sagde Gowdiak. Alle fem spørgsmål skal bruges sammen for at angrebet skal lykkes. Gowdiak har allerede sendt detaljerede oplysninger og proof-of-concept-kode til Oracle.
To af problemerne kan også påvirke Java 6, men det er ikke bekræftet.
"Java viser sig at være den gave, der fortsætter med at give for angribere, " sagde Andrew Storms, direktør for sikkerhedsoperationer i nCircle, til SecurityWatch . Han forudsagde mere målrettede angreb mod større virksomheder og regeringsenheder. "Den dårlige nyhed med Java bliver bare værre, og der er ingen ende i syne, " sagde han.
