40 sebezhetőséget foltoztak be a Javában
Megérkezett a Java SE 7u25, a futtatókörnyezet legújabb frissítése, amelyben számos biztonsági sebezhetőséget foltozott be az Oracle, illetve végre alapértelmezetté tette a visszavont tanúsítványok ellenőrzését.
A héten megérkezett a Java legújabb frissítése, a 7u25. Az Oracle mérnökei összesen 40 sebezhetőséget javítottak ebben a kiadásban. A sérülékenységek közül 34 csak a kliensoldali telepítéseket érinti, 4 mind a kliens-, mind a szerveroldali kiadást, egy sebezhetőséget javítottak a telepítőben és egyet a HTML5 dokumentációk létrehozására alkalmas Javadocban.
A befoltozott sebezhetőségek közül nem kevesebb mint 11 kapta meg a Common Vulnerability Scoring System (CVSS) szerinti legmagasabb pontszámot (10), hétköznapi értelemben ezek a legkisebb szakértelmet igénylő, legegyszerűbb, távolról is kiaknázható, kritikus sebezhetőségek. További három rés kapott 9-nél magasabb kockázati pontszámot, ezek közepes összetettségű hibák, amelyeket szintén távolról ki lehet használni. A részletes lista itt érhető el.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A Javadoc HTML formátumú dokumentációk létrehozására szolgál, ebben is volt egy sérülékenység - a szoftverrel készített weboldalakban a támadó frame-eket helyezhetett el és ezzel például más URL-re irányíthatta a látogatókat vagy olyan tartalmat juttathatott el a gépükre, amelyet ők nem is kértek. A Java 7u25-ben kijavította ezt a sérülékenységet az Oracle, az új Javadoc által létrehozott oldalak nem sebezhetőek. A cég emellett kiadott egy Java API Documentation Updater nevű segédprogramot is, amellyel a régebbi Javadoc-verziókkal létrehozott oldalakat lehet kijavítani.
Még egy fontos biztonsági fejlesztést kapott a Java: régóta elterjedt trükk a kártékony alkalmazásokat érvényüket vesztett, visszavont tanúsítványokkal hitelesíteni, a Java futtatókörnyezet pedig eddig alapértelmezésként nem ellenőrzte ezeket, csak ha a felhasználó ezt külön engedélyezte a Java Control Panelben az "Enable online certification validation" és a "Check certificates for revocation using certificate revocation Lists (CRLs)" menüpontokban az "Advanced" fülön. A Java 7u25-ben ez alapértelmezésként be van már kapcsolva, vagyis a lejárt, visszavont tanúsítvánnyal aláírt alkalmazások nem indulnak el automatikusan, csak ha a felhasználó azt külön jóváhagyja.
Érdemes megjegyezni, hogy amennyiben a Java futtatókörnyezet az alkalmazások indulása előtt ellenőrzi a visszavont tanúsítványokat, az némileg megnöveli az appok indulási idejét, amennyiben pedig nincs élő internetelérés, az jelentősen elnyújthatja ezt a folyamatot. Az Oracle azt tanácsolja a felhasználóknak, csak szigorúan ellenőrzött környezetben kapcsolják ki a tanúsítványok online ellenőrzését.