וִידֵאוֹ: Клонирование в Java. Cloneable. Java Professional. Урок 10 (אוֹקְטוֹבֶּר 2024)
בחודש יוני, סיפרנו לכם על איך אורקל התחייבה להשתפר עם ג'אווה ולעדכן את הפלטפורמה בתדירות גבוהה יותר. זו הייתה אבן הגבס בסדרת פרקים מביכים שבהם ג'אווה שימשה שוב ושוב כדי לתקוף משתמשים. השבוע הוציאה אורקל את הראשון מתוך סדרת עדכונים חדשה עבור ג'אווה, שהם מקווים שיהפכו את שלושת מיליארד המכשירים שמפעילים את המוצר שלהם לבטוחים יותר. זה אולי נכון, אבל העדכון הוא גדול עד אימה עם השלכות אימתניות לא פחות.
תיקון מהיר יותר
בעבר ג'אווה עודכנה שלוש פעמים בשנה, אך החל מהשבוע היא תעודכן רבעון יחד עם שאר המוצרים של אורקל כחלק מעדכון ה- Critical Patch שלהם, או CPU (אני רואה מה עשית שם, אורקל).
עדכון זה כולל 127 תיקוני אבטחה. מתוכם 51 מיועדים לג'אווה - והנה החלק המפחיד - 50 מאותם פגיעויות עלולים, במילים של אורקל, "להיות ניתנים לניצול מרחוק ללא אימות."
אבל אה, זה משתפר. בבלוג של Qualys כותב ה- CTO וולפגנג קנדק "12 נקודות תורפה עם ציון ה- CVSSv2 הגבוה ביותר של 10, ומצביע על כך שניתן להשתמש בפגיעויות אלה על מנת לקבל שליטה מלאה על המכונה המותקפת ברשת ללא צורך באימות." הוא ממשיך ומציין שרוב העדכונים משפיעים על משתמשי מחשב נייד ושולחן העבודה (למשל, אתם קוראים את זה, כרגע), אך ישנם שני עדכונים קריטיים ביותר הקשורים להתקנות שרת.
הגיע הזמן לעדכן!
רוב המשתמשים ככל הנראה יקבלו עדכונים באופן אוטומטי, אך רק כדי להיות בטוחים, אורקל סיפקה דף שימושי לבדיקת הגירסה שבה אתה מפעיל. אם הוא מגלה התקנה מיושנת, היא תבקש ממך להוריד ולהתקין את העדכון. שימו לב שהגרסה החדשה ביותר נכון לשבוע זה היא עדכון 45 של Java 7.
אני הולך לקחת שניה מהירה כדי להזכיר למשתמשים להיות זהירים מאוד בעת עדכון Java באופן ידני מכיוון שהוא ינסה לשכנע אתכם להתקין את סרגל הכלים Ask.com ולשנות את מנוע החיפוש המוגדר כברירת מחדל לשאל.
מעט מדי?
אמנם טוב לראות את אורקל מגבירה את משחק האבטחה שלהם, אבל לא כולם חיזקו את מהלך אורקל. יועץ האבטחה הבכיר של סופוס צ'סטר וויסנייבסקי כתב בבלוג של החברה שלו שזה מרגיש כמו מעט מאוחר מדי. "אם המוניטין שלך הוא גרוע זה ואתה חושף יותר ממיליארד משתמשים לפגמים שלך, אתה צריך להגיב מהר יותר."
ויסניעווסקי המשיך וטען כי סדרי העדיפויות של אורקל לא הותאמו בצורה מוטעה, והייתה החוצפה לתקוף את הסירה של המותג אורקל של לארי אליסון שזכתה לאחרונה בגביע אמריקה. "הניח את הפרס על המדף בלובי שלך, מכר את הסירה של עשרה מיליון הדולר ושכר את המהנדסים הדרושים לעדכון מחזור התיקון של ג'אווה לחודשי בכסף מזומן, " כתב ויסנייבסקי. "3+ מיליארד מכשירים מודים לך."
עדכון התקנת ה- Java שלך הוא הדרך הטובה ביותר לשמור על עצמך מוגן מפני התקפות מבוססות Java, הנאפות בערכות ניצול רבות ומשמשות לעתים קרובות על ידי תוקפים. כמובן שתמיד תוכלו למשוך את התקע ולהשבית את ג'אווה לחלוטין.
