אורקל משחררת את עדכון 11 של Java 7 כדי לתקן באגים קריטיים

אורקל פרסמה עדכון חירום לסגירת באג אבטחה רציני ב- Java שכבר שימש את התוקפים לפריצה למחשבי משתמשים.

התיקון מחוץ ללהקה מטפל בפגיעות הקריטית שהתגלתה לאחרונה ב- Java 7 של אורקל, כך אמר אורקל בהודעת האבטחה שלה שפורסמה ב -13 בינואר. תוקף ינצל את הפגם האחרון על ידי הונאת משתמשים לבקר באתר אינטרנט שמריץ יישומון זדוני. מומלץ למשתמשים לעדכן מיידית ל- Java 7 Update 11.

עדכון 11 של Java 7 מקטין את CVE-2013-0422 (הפגיעות האחרונה) וגם את CVE-2012-3174, באג ביצוע קוד מרחוק ישן עוד מימי יוני האחרון. שני הליקויים קיבלו דירוג מערכת פגיעות נפוצה המוערך של 10, הציון הגבוה ביותר האפשרי בסולם זה. בתיקון זה, אורקל סגרה את הפגם וגם שינתה את האופן שבו ג'אווה התקשרה עם יישומי אינטרנט.

אורקל הודיעה כי "רמת האבטחה המוגדרת כברירת מחדל עבור יישומי Java ויישומי התחל אינטרנט הוגדלה מ'בינונית 'לגובה'.

משמעות הדבר היא שהמשתמש תמיד יתבקש לפני שיישומש Java או חתימת Web Start שלא חתומים יוכלו לפעול. בעבר יישומי יישומי Java ויישומים פועלים באופן אוטומטי כאשר למשתמשים הותקנה הגרסה האחרונה של ג'אווה. עם ההגדרה "גבוה", המשתמש מוזהר תמיד לפני הפעלת יישום שאינו חתום, כך שתוקפים לא יוכלו לפתוח בהתקפות אילמות, אמר אורקל.

תיקון מחוץ ללהקה

תיקון חירום של אורקל אינו שגרתי. החברה בדרך כלל מתעדת את ג'אווה במחזור רבעוני, אך ככל הנראה שיחררה את התיקון מחוץ ללהקה מכיוון שקוד ההתקפה המנצל פגיעות זו כבר התווסף למספר ערכות ניצול פופולריות, כולל "Blackhole" ו- "NuclearPack." ערכות תוכנות פשע מקלות על עבריינים להדביק מחשבים בתוכנות זדוניות ולהשתלט על המכונות למטרותיהם המצערות. חוקרים כבר חשפו אתרים המריצים את הקוד, אם כי לא ידוע כרגע כמה משתמשים כבר נפגעו.

אורקל שחררה בעבר טלאי מחוץ ללהקה בסתיו האחרון לאחר שחוקרים חשפו ליקוי דומה בהוצאה להורג.

משפיע על Java בדפדפני האינטרנט, ולא בשולחן העבודה

חשוב לזכור ששתי הפגיעויות של ביצוע קוד מרחוק המתוקנות בעדכון זה "חלות רק על ג'אווה בדפדפני אינטרנט מכיוון שהן ניתנות לניצול באמצעות יישומוני דפדפן זדוניים", כתב אריק מוריס, מנהל אבטחת התוכנה של אורקל בבלוג אבטחת האבטחה של תוכנת Oracle.. אם אינך ניגש בקביעות לאתרים שמפעילים ג'אווה, שווה להשבית את התוסף Java בדפדפן שלך. להלן הוראות צעד אחר צעד כיצד להשבית את ג'אווה מה- Neil Rubenking של SecurityWatch.

יישומי שולחן עבודה רבים ומשחקים פופולריים (Minecraft, מישהו?) משתמשים ב- Java, אך לקוח הג'אווה המקומי אינו מותקף.

"פגיעויות אלה אינן משפיעות על ג'אווה בשרתים, ביישומי שולחן עבודה של ג'אווה או ב- Java משובץ", כתב מוריס.