וִידֵאוֹ: Урок по Java 6: Типы данных. (נוֹבֶמבֶּר 2024)
אורקל הוציאה עדכון חירום נוסף ל- Java. זהו עדכון החירום השלישי שפרסמה החברה בשנת 2013 כדי לתקן בעיות אבטחה פעורות ב- Java שכבר שימשו להתקפות.
אורקל הודיעה בעדכוני האבטחה שלה שפורסמו ביום שני כי העדכונים האחרונים, עדכון Java 7 ועדכון ג'אווה 6 עדכון 43, התייחסו ל- CVE-2013-1493 ופגיעות קשורה (CVE-2013-0809). שתי הפגיעויות משפיעות על רכיב ה- 2D ב- Java SE, המטפל בגרפיקה בזמן ריצה ועל אופן הצגתם של תמונות, כך על פי פוסט בבלוג של אריק מוריס, מנהל אבטחת תוכנה באורקל.
על כל משתמשי ג'אווה לשדרג מיידית לגרסאות האחרונות, מסרה החברה.
אורקל כתבה כי "ניתן לנצל פגיעויות אלה מרחוק ללא אימות, כלומר ניתן לנצל אותן ברשת ללא צורך בשם משתמש וסיסמא.
תוקפים יכולים להערים על משתמשים חסרי חשד לבקר בקוד אירוח זדוני של אתר אינטרנט המפעיל את ליקויי האבטחה, אמר אורקל. חוקרים גילו פיגועים בטבע המדביקים מחשבי משתמשים באמצעות הטרויאני של McRAT המרוחק. McRAT יוצר קשר עם שרתי פיקוד ובקרה ומעתיק את עצמו לתהליכי מערכת ההפעלה Windows.
Oracle כתב כי ניצולים, אם יצליחו, "יכולים להשפיע על הזמינות, השלמות והסודיות של מערכת המשתמש."
הרבה עדכונים, השבת אם אתה יכול
אורקל עדכנה את ג'אווה באמצע ינואר ושוב בתחילת פברואר בעדכוני חירום לאחר שהתפרסמו דיווחים במהלך חג המולד על סדרה של התקפות בסגנון חור-מים שהשפיעו על אתרים שונים. החברה הוציאה עדכון מתוזמן לפנות ל 50 באגים ב -19 בפברואר. שני הבאגים הללו דווחו ל- Oracle בפברואר 1, אך לא ניתן היה לכלול אותם בעדכון ה- 19 בפברואר, כתב מוריס.
בהתחשב בעדכון ה- Java המתוזמן הבא היה באפריל, החברה החליטה לשחרר תיקון מחוץ ללהקה מכיוון שהפגם נעשה בשימוש פעיל בהתקפות.
מוריס מסר כי "על מנת לסייע לשמור על תנוחת האבטחה של כל משתמשי Java SE, אורקל החליטה לשחרר תיקון לפגיעות זו ובאג נוסף אחר הקשור בהקדם."
מוריס הבטיח למשתמשים שהבעיות קיימות רק ביישומי Java הפועלים בדפדפני אינטרנט, ואינם חלים על ג'אווה הפועלת על שרתים, יישומי שולחן עבודה Java עצמאיים, או יישומי Java משובצים, או תוכנה מבוססת שרת Oracle. מומחי אבטחה רבים ומחלקת צוות התגובה לחירום מחשבים לביטחון פנים (CERT) ממליצים למשתמשים להשבית את התוסף Java בדפדפיהם אם הם לא משתמשים בו באופן קבוע.
אם המשתמש זקוק לג'אווה, המכסה רוב ברובם של משתמשי עסקים וחינוך, כדאי לשמור על דפדפן נפרד עם התקנת ה- Java המותקנת, ולהשתמש בדפדפן זה כדי לגשת לאתרים אלה בלבד.
למר ביילי, מנהלת מחקרי ופיתוח אבטחה ב- nCircle, אמרה: "טוב לראות את אורקל מגיבה מהר יותר לפגיעויות קריטיות, אבל זה הזמן שעבר עבורם לעשות צלילה עמוקה יותר בנושאי האבטחה של ג'אווה". "אני מקווה שאורקל כבר הקצתה צוות של מהנדסי האבטחה הטובים ביותר שלהם למעוך באופן יזום על כל אחת מבעיות האבטחה הנותרות ב- Java, אך עד אז המשתמשים יעודכנו את Java בתדירות העדכון של חתימות AV, " אמר.
ג'אווה 6 נכנסה בסוף החיים בפברואר השנה, והניעה חשש אם אורקל תשאיר את הגרסה הישנה ללא תחרות. אורקל תיקן את Java 6 בעדכון זה, שעדיין משמש משתמשים רבים. לא ברור כיצד אורקל תתמודד עם טלאים ל- Java 6 במהלך החודשים הקרובים.
"תמיד חשבתי שאורקל עשתה עבודה טובה באבטחת המוצרים שלהם, אבל הפריחה האחרונה של פגיעויות ב- Java גורמת לי לאבד אמונה, " אמרה ביילי והוסיפה כי כעת הוא תוהה אילו בעיות אבטחה חמורות יש במוצרים האחרים של אורקל..
נמצאו עוד באגים ב- Java
במשחק מתמשך של חתול ועכבר, עדכון Java פירושו שהגיע הזמן לחשיפות פגיעות נוספות. אדם גודיאק, ראש חברת המחקר הפולנית אבטחת חקר, מצא עוד חמישה סוגיות של Java 7.
"חמש בעיות אבטחה חדשות התגלו ב- Java SE 7 (ממוספרות 56 עד 60), שכאשר הן משולבות יחד, ניתן להשתמש בהן בהצלחה בכדי להשיג עקיפה שלמה של ארגז חול של אבטחת ג'אווה בסביבת עדכון 15 של Java SE 7, " כתב גודיאק היום (שני) רשימת תפוצה של Bugtraq. נראה כי התוקפים יוכלו להשתמש בסוגיות כדי לשבור חלק מהבדיקות הביטחוניות שאורקל ביצעה לאחרונה, אמר גובדיאק. יש להשתמש בכל חמש הנושאים יחד בכדי שההתקפה תצליח. גודיאק כבר הגיש אורקל מידע מפורט וקוד הוכחת מושג.
שתיים מהבעיות עשויות להשפיע גם על Java 6, אך הדבר לא אושר.
אנדרו סטורמס, מנהל פעולות האבטחה ב- nCircle, אמר ל- " SecurityWatch ", "ג'אווה מתגלה כמתנה שממשיכה לתת לתוקפים." הוא ניבא התקפות ממוקדות יותר נגד תאגידים גדולים וגורמים ממשלתיים. "החדשות הרעות עם ג'אווה רק הולכות ומחמירות ואין סוף באופק", אמר.