Masszív csomagban frissíti a Java-t az Oracle
Aktív támadások miatt hozta előre az Oracle a februári nagy Java-javítócsomagot. A pakk 50 sebezhetőséget foltoz és az előzőleg tervezetthez képest több, mint két héttel korábban érkezik.
Kiadta február elsején az eredetileg 19-ére tervezett Critical Patch Update (CPU) javítócsomagot az Oracle. A sietség oka, hogy a csomag javít egy aktívan kihasznált sérülékenységet is, így az előzetes tervekhez képest felgyorsította a kiadást a szoftvercég. Az Oracle az aktív támadások miatt a frissítőcsomag azonnali telepítését ajánlja minden felhasználónak.
Masszív javítás
A javítócsomag összesen 50 sérülékenységet javít, ezek közül 26 a létező legmagasabb, 10,0-s CVSS besorolást kapta, vagyis rendkívül súlyosnak számít, további kettő pedig 9,3-as pontszámot ért el. Egy kivételével az összes most javított sérülékenység távolról, hálózaton keresztül elérhető, egy pedig a telepítési folyamatban található, ez csak a géphez való közvetlen hozzáféréssel aknázható ki. A javított hibák között van az a rés is, amelyet kihasználva aláírás nélküli applet szerezhet futáshoz jogot, az új, a felhasználó beleegyezését kötelező módon kérő párbeszédablak megkerülésével.
A Java-architektúra a Security Explorations szemével
A Java biztonsági hibáinak feltérképezésében egyik elöljárónak számító Security Explorations szerint a CPU javítja a saját nevezéktanukban 50-es, 52-es és 53-as hibának keresztelt sérülékenységeket, az 51-es számú hiba azonban továbbra is része a Javának, ezt várhatóan egy következő biztonsági frissítésben fogja orvosolni az Oracle. Amennyiben ezeket a hibákat csak a Security Explorations jelentette a szoftverháznak és korábban nem volt tudomásuk róla, akkor az valóban a felgyorsult biztonsági javítási mechanizmusra utal: az 53-as hibát január 28-án jelentették, a frissítés pedig mindössze néhány napra rá elérhetővé vált.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A CPU része a Java 7 Update 13, de emellett frissítést tartalmaz a Java 6 számára is (Update 39) és frissíteni kell a Java Development Kit 6-os és 7-es kiadását is. Bizonyos javításokat megkaptak a Java korábbi kiadásai, így az 5-ös és az 1.4-es verzió is, a nyilvánosan már nem támogatott környezeteket használóknak kell megkeresniük az Oracle-t a javításokért. A megfelelő csomag telepítése az OS X operációs rendszeren visszakapcsolja a Javát, azt ugyanis az Apple a felhasználók biztonsága érdekében távolról letiltotta minden számítógépen.
Tempóváltás
A biztonsági szakemberek egyre sűrűbben szólítanak fel a Java eltávolítására a klienszámítógépekről de legalább a böngészőbe épülő modulok letiltására. Az Oracle láthatóan érzékelte az ellenségessé váló közhangulatot, a CPU mellett a szoftverház azt is bejelentette, hogy a jövőben felgyorsítja a Java javításainak átfutási idejét, különösen a JRE és az asztali böngészők sérülékenységeit tekintve. "A Critical Patch Update mérete és korai kiadása azt mutatja, hogy az Oracle eltökélt a Java-javítások kiadásának felgyorsításában, különösen ami a Java Runtime Environment böngészős biztonságát illeti" - mondja az Oracle.
Ahogy korábban, a Java-frissítéshez várhatóan ez alkalommal is kapcsolódnak majd támadások, amelyek hamis frissítésnek álcázzák magukat, ám a felhasználó számítógépére backdoort vagy egyéb kártevőket telepítenek. Ezért a frissítést minden alkalommal csak az Oracle oldaláról (vagy más megbízható forrásból) letöltött végrehajtható állománnyal érdemes elvégezni.