Szerző: Gálffy Csaba

2013. február 04. 11:49:00

Masszív csomagban frissíti a Java-t az Oracle

Aktív támadások miatt hozta előre az Oracle a februári nagy Java-javítócsomagot. A pakk 50 sebezhetőséget foltoz és az előzőleg tervezetthez képest több, mint két héttel korábban érkezik.

Kiadta február elsején az eredetileg 19-ére tervezett Critical Patch Update (CPU) javítócsomagot az Oracle. A sietség oka, hogy a csomag javít egy aktívan kihasznált sérülékenységet is, így az előzetes tervekhez képest felgyorsította a kiadást a szoftvercég. Az Oracle az aktív támadások miatt a frissítőcsomag azonnali telepítését ajánlja minden felhasználónak.

Masszív javítás

A javítócsomag összesen 50 sérülékenységet javít, ezek közül 26 a létező legmagasabb, 10,0-s CVSS besorolást kapta, vagyis rendkívül súlyosnak számít, további kettő pedig 9,3-as pontszámot ért el. Egy kivételével az összes most javított sérülékenység távolról, hálózaton keresztül elérhető, egy pedig a telepítési folyamatban található, ez csak a géphez való közvetlen hozzáféréssel aknázható ki. A javított hibák között van az a rés is, amelyet kihasználva aláírás nélküli applet szerezhet futáshoz jogot, az új, a felhasználó beleegyezését kötelező módon kérő párbeszédablak megkerülésével.

A Java-architektúra a Security Explorations szemével

A Java biztonsági hibáinak feltérképezésében egyik elöljárónak számító Security Explorations szerint a CPU javítja a saját nevezéktanukban 50-es, 52-es és 53-as hibának keresztelt sérülékenységeket, az 51-es számú hiba azonban továbbra is része a Javának, ezt várhatóan egy következő biztonsági frissítésben fogja orvosolni az Oracle. Amennyiben ezeket a hibákat csak a Security Explorations jelentette a szoftverháznak és korábban nem volt tudomásuk róla, akkor az valóban a felgyorsult biztonsági javítási mechanizmusra utal: az 53-as hibát január 28-án jelentették, a frissítés pedig mindössze néhány napra rá elérhetővé vált.

November 27-28-án ismét HWSW mobile! (x) A legnagyobb hazai digitális termékfejlesztési konferenciára most kedvezményesen lehet regisztrálni! 2 nap, 1000 látogató, dedikált workshopnap.

A CPU része a Java 7 Update 13, de emellett frissítést tartalmaz a Java 6 számára is (Update 39) és frissíteni kell a Java Development Kit 6-os és 7-es kiadását is. Bizonyos javításokat megkaptak a Java korábbi kiadásai, így az 5-ös és az 1.4-es verzió is, a nyilvánosan már nem támogatott környezeteket használóknak kell megkeresniük az Oracle-t a javításokért. A megfelelő csomag telepítése az OS X operációs rendszeren visszakapcsolja a Javát, azt ugyanis az Apple a felhasználók biztonsága érdekében távolról letiltotta minden számítógépen.

Tempóváltás

A biztonsági szakemberek egyre sűrűbben szólítanak fel a Java eltávolítására a klienszámítógépekről de legalább a böngészőbe épülő modulok letiltására. Az Oracle láthatóan érzékelte az ellenségessé váló közhangulatot, a CPU mellett a szoftverház azt is bejelentette, hogy a jövőben felgyorsítja a Java javításainak átfutási idejét, különösen a JRE és az asztali böngészők sérülékenységeit tekintve. "A Critical Patch Update mérete és korai kiadása azt mutatja, hogy az Oracle eltökélt a Java-javítások kiadásának felgyorsításában, különösen ami a Java Runtime Environment böngészős biztonságát illeti" - mondja az Oracle.

Ahogy korábban, a Java-frissítéshez várhatóan ez alkalommal is kapcsolódnak majd támadások, amelyek hamis frissítésnek álcázzák magukat, ám a felhasználó számítógépére backdoort vagy egyéb kártevőket telepítenek. Ezért a frissítést minden alkalommal csak az Oracle oldaláról (vagy más megbízható forrásból) letöltött végrehajtható állománnyal érdemes elvégezni.

a címlapról

Hirdetés

November 27-28-án ismét HWSW mobile!

2019. október 24. 02:10

A legnagyobb hazai digitális termékfejlesztési konferenciára most early bird kedvezménnyel lehet regisztrálni! 2 nap, 1000 látogató, dedikált workshopnap.