Szerző: Bodnár Ádám

2013. április 18. 09:26:00

42 hibát foltozott be a Javában az Oracle

A héten megjelent a Java legújabb frissítése, amelyet mindenkinek ajánlott telepítenie, mivel 42 biztonsági sebezhetőséget foltoztak be benne, ebből 39 tesz lehetővé azonosítás nélküli távoli kódfuttatást.

Az április Java-frissítés is masszívra sikerült, az Update 21 keretében nem kevesebb mint 42 hibát foltozott be az Oracle. A javított sebezhetőségek közül 39 tesz lehetővé autentikáció nélküli távoli kódfuttatást. 10 sérülékenység a lehető legmagasabb Common Vulnerability Scoring System (CVSS) pontszámot kapta, további 9 pedig 7 felettit - ezeket némileg nehezebb kihasználni az Oracle szerint.

A Java 7 Update 21 egyik legfontosabb újdonsága az appletek futtathatóságát érinti. A Java 7 Update 17 óta a felhasználók egy csúszkán határozhatták meg az általuk megkívánt biztonsági szintet. Eddig létezett olyan beállítás, amely mellett az appletek automatikusan elindultak, ezt azonban biztonságilag annyira aggályosnak találta az Oracle, hogy megszüntette: mostantól minden applet indítása előtt a felhasználó kifejezett hozzájárulását kéri a futtatókörnyezet.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Az appletek indítása kapcsán kétféle biztonsági figyelmeztetéssel találkozhatnak a felhasználók. Egy érvényes tanúsítvánnyal rendelkező alkalmazás indításakor csak a Java logó jelenik meg a tanúsítvány legfontosabb részleteivel, egy nem hiteles aláírással, saját aláírással rendelkező vagy aláírás nélküli applet esetén azonban egy sárga háromszögben felkiáltójel is látható - az ilyen appletek futtatása egyáltalán nem javasolt.

Az ellenőrzés azonban nem teljes: korábban is gyakori módszere volt a bűnözőknek alkalmazásaikat érvényüket vesztett, visszavont tanúsítványokkal hitelesíteni, a Java futtatókörnyezet pedig alapból nem ellenőrzi ezeket, ezt külön kell engedélyezni a Java Control Panelben az "Enable online certification validation" és a "Check certificates for revocation using certificate revocation Lists (CRLs)" menüpontokban az "Advanced" fülön. Feltehetően egy későbbi frissítésben ezeket a képességeket alapértelmezetten bekapcsolja majd az Oracle.

Az Oracle nem csak a Java 7-et frissítette, hanem meglepő módon kiadott egy csomagot a Java 6-hoz is. A Java 6 Update 45-ben a Java 7 Update 21-ben is megtalálható sebezhetőségeket javította ki a vállalat. A lépés azért érdekes, mert a jelenleg elérhető legfrissebb dokumentumok szerint 2013 februárját követően több frissítés nem érkezik a Java 6-hoz.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról