Oracle uvolňuje nouzovou opravu pro jadernou explozi Java

Oracle vydal v pondělí nouzové záplaty pro Javu, aby se zabývaly dvěma kritickými zranitelnostmi, z nichž jedna byla aktivně využívána hackery v cílených útokech.

Zranitelnosti označené jako CVE- 2013-1493 a CVE-2013-0809 se nacházejí ve 2D komponentě Java a získaly nejvyšší možný dopad z Oracle

. "Tato zranitelná místa mohou být vzdáleně využitelná bez ověřování, tj. Mohou být využívána prostřednictvím sítě bez nutnosti uživatelského jména a hesla, "uvedla společnost v bezpečnostním upozornění. "Aby bylo zneužití úspěšné, musí být nic netušící uživatel, který provozuje příslušnou verzi v prohlížeči, navštívit škodlivou webovou stránku, která využívá tato zranitelná místa. Úspěšné zneužití může mít vliv na dostupnost, integritu a důvěrnost systému uživatele. "

[Další informace: Jak odstranit malware z počítače s operačním systémem Windows]

Nově vydané aktualizace nabývají Java verze 7 Aktualizace 17 (7u17) a 6 Aktualizace 43 (6u43), přeskakování přes 7u16 a 6u42 z důvodů, které nebyly okamžitě jasné.

Oracle poznamenává, že Java 6u43 bude poslední veřejně dostupnou aktualizací Java 6 a radí uživatelům, aby přešli na Java 7. veřejná dostupnost aktualizací Java 6 měla skončit s aktualizací Java 6 Update 41, která byla vydána 19. února, ale zdá se, že společnost udělila výjimku pro tuto nouzovou opravu.

Chyba CVE-2013-1493 byla aktivně využívána útočníci alespoň od minulého čtvrtka, když vědci z bezpečnostní firmy FireEye objevili útoky, které používaly k instalaci malého softwaru s názvem McRAT. Zdá se však, že společnost Oracle věděla o existenci tohoto nedostatku od začátku února. "" Ačkoli byly nedávno přijaty zprávy o aktivním využívání zranitelnosti CVE-2013-1493, byla tato chyba původně oznámena společnosti Oracle dne 1. února 2013, Bohužel je příliš pozdě na to, aby byl zahrnut do 19. února vydání aktualizace kritických aktualizací Java SE, "uvedl Eric Maurice, ředitel programu Oracle pro zabezpečení softwaru, na blogu v pondělí.

Společnost plánovala opravit CVE-2013- 1493 v příštím naplánovaném aktualizaci Java Critical Patch Update 16. dubna, uvedl Maurice. Protože útočníci začali být zneužíváni, Oracle se rozhodl spouštět patch dříve.

Dvě zranitelnosti adresované nejnovějšími aktualizacemi neovlivňují Java běžící na serverech, samostatných aplikacích Java nebo vestavěných aplikacích Java, Uvedl Maurice. Uživatelům je doporučeno nainstalovat opravy co nejdříve, řekl.

Uživatelé mohou zakázat podporu pro webový obsah Java z karty zabezpečení v ovládacím panelu Java, pokud nepotřebují Java na webu. Nastavení zabezpečení pro takový obsah je ve výchozím nastavení nastaveno na vysokou úroveň, což znamená, že uživatelé jsou vyzváni, aby povolili spuštění Java appletů, které nejsou podepsány nebo jsou podepsány v rámci prohlížečů.

Toto je navrženo tak, aby zabránilo automatizovanému využívání zranitelných míst Java Web, ale funguje pouze tehdy, jsou-li uživatelé schopni činit informovaná rozhodnutí o tom, které applety se mají autorizovat a které ne. "Aby se uživatelé mohli chránit, uživatelé desktopů by měli umožňovat spouštění apletů pouze tehdy, když očekávají takové aplety a důvěřují jejich původu," uvedl Maurice.