Mellékleteink: HUP | Gamekapocs
Keres

40 sebezhetőséget foltoztak be a Javában

Bodnár Ádám, 2013. június 20. 14:53
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Megérkezett a Java SE 7u25, a futtatókörnyezet legújabb frissítése, amelyben számos biztonsági sebezhetőséget foltozott be az Oracle, illetve végre alapértelmezetté tette a visszavont tanúsítványok ellenőrzését.

A héten megérkezett a Java legújabb frissítése, a 7u25. Az Oracle mérnökei összesen 40 sebezhetőséget javítottak ebben a kiadásban. A sérülékenységek közül 34 csak a kliensoldali telepítéseket érinti, 4 mind a kliens-, mind a szerveroldali kiadást, egy sebezhetőséget javítottak a telepítőben és egyet a HTML5 dokumentációk létrehozására alkalmas Javadocban.

A befoltozott sebezhetőségek közül nem kevesebb mint 11 kapta meg a Common Vulnerability Scoring System (CVSS) szerinti legmagasabb pontszámot (10), hétköznapi értelemben ezek a legkisebb szakértelmet igénylő, legegyszerűbb, távolról is kiaknázható, kritikus sebezhetőségek. További három rés kapott 9-nél magasabb kockázati pontszámot, ezek közepes összetettségű hibák, amelyeket szintén távolról ki lehet használni. A részletes lista itt érhető el.

A Javadoc HTML formátumú dokumentációk létrehozására szolgál, ebben is volt egy sérülékenység - a szoftverrel készített weboldalakban a támadó frame-eket helyezhetett el és ezzel például más URL-re irányíthatta a látogatókat vagy olyan tartalmat juttathatott el a gépükre, amelyet ők nem is kértek. A Java 7u25-ben kijavította ezt a sérülékenységet az Oracle, az új Javadoc által létrehozott oldalak nem sebezhetőek. A cég emellett kiadott egy Java API Documentation Updater nevű segédprogramot is, amellyel a régebbi Javadoc-verziókkal létrehozott oldalakat lehet kijavítani.

Még egy fontos biztonsági fejlesztést kapott a Java: régóta elterjedt trükk a kártékony alkalmazásokat érvényüket vesztett, visszavont tanúsítványokkal hitelesíteni, a Java futtatókörnyezet pedig eddig alapértelmezésként nem ellenőrzte ezeket, csak ha a felhasználó ezt külön engedélyezte a Java Control Panelben az "Enable online certification validation" és a "Check certificates for revocation using certificate revocation Lists (CRLs)" menüpontokban az "Advanced" fülön. A Java 7u25-ben ez alapértelmezésként be van már kapcsolva, vagyis a lejárt, visszavont tanúsítvánnyal aláírt alkalmazások nem indulnak el automatikusan, csak ha a felhasználó azt külön jóváhagyja.

Érdemes megjegyezni, hogy amennyiben a Java futtatókörnyezet az alkalmazások indulása előtt ellenőrzi a visszavont tanúsítványokat, az némileg megnöveli az appok indulási idejét, amennyiben pedig nincs élő internetelérés, az jelentősen elnyújthatja ezt a folyamatot. Az Oracle azt tanácsolja a felhasználóknak, csak szigorúan ellenőrzött környezetben kapcsolják ki a tanúsítványok online ellenőrzését.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.