Szerző: Bodnár Ádám

2013. június 20. 14:53

40 sebezhetőséget foltoztak be a Javában

Megérkezett a Java SE 7u25, a futtatókörnyezet legújabb frissítése, amelyben számos biztonsági sebezhetőséget foltozott be az Oracle, illetve végre alapértelmezetté tette a visszavont tanúsítványok ellenőrzését.

HIRDETÉS

A héten megérkezett a Java legújabb frissítése, a 7u25. Az Oracle mérnökei összesen 40 sebezhetőséget javítottak ebben a kiadásban. A sérülékenységek közül 34 csak a kliensoldali telepítéseket érinti, 4 mind a kliens-, mind a szerveroldali kiadást, egy sebezhetőséget javítottak a telepítőben és egyet a HTML5 dokumentációk létrehozására alkalmas Javadocban.

A befoltozott sebezhetőségek közül nem kevesebb mint 11 kapta meg a Common Vulnerability Scoring System (CVSS) szerinti legmagasabb pontszámot (10), hétköznapi értelemben ezek a legkisebb szakértelmet igénylő, legegyszerűbb, távolról is kiaknázható, kritikus sebezhetőségek. További három rés kapott 9-nél magasabb kockázati pontszámot, ezek közepes összetettségű hibák, amelyeket szintén távolról ki lehet használni. A részletes lista itt érhető el.

HUAWEI MateBook 14: a laptop, ami nagyobb önmagánál (x)

A cég újdonsága leginkább kijelzőjével és ötletes megoldásaival emelkedik ki a mezőnyből.

HUAWEI MateBook 14: a laptop, ami nagyobb önmagánál (x) A cég újdonsága leginkább kijelzőjével és ötletes megoldásaival emelkedik ki a mezőnyből.

A Javadoc HTML formátumú dokumentációk létrehozására szolgál, ebben is volt egy sérülékenység - a szoftverrel készített weboldalakban a támadó frame-eket helyezhetett el és ezzel például más URL-re irányíthatta a látogatókat vagy olyan tartalmat juttathatott el a gépükre, amelyet ők nem is kértek. A Java 7u25-ben kijavította ezt a sérülékenységet az Oracle, az új Javadoc által létrehozott oldalak nem sebezhetőek. A cég emellett kiadott egy Java API Documentation Updater nevű segédprogramot is, amellyel a régebbi Javadoc-verziókkal létrehozott oldalakat lehet kijavítani.

Még egy fontos biztonsági fejlesztést kapott a Java: régóta elterjedt trükk a kártékony alkalmazásokat érvényüket vesztett, visszavont tanúsítványokkal hitelesíteni, a Java futtatókörnyezet pedig eddig alapértelmezésként nem ellenőrzte ezeket, csak ha a felhasználó ezt külön engedélyezte a Java Control Panelben az "Enable online certification validation" és a "Check certificates for revocation using certificate revocation Lists (CRLs)" menüpontokban az "Advanced" fülön. A Java 7u25-ben ez alapértelmezésként be van már kapcsolva, vagyis a lejárt, visszavont tanúsítvánnyal aláírt alkalmazások nem indulnak el automatikusan, csak ha a felhasználó azt külön jóváhagyja.

Érdemes megjegyezni, hogy amennyiben a Java futtatókörnyezet az alkalmazások indulása előtt ellenőrzi a visszavont tanúsítványokat, az némileg megnöveli az appok indulási idejét, amennyiben pedig nincs élő internetelérés, az jelentősen elnyújthatja ezt a folyamatot. Az Oracle azt tanácsolja a felhasználóknak, csak szigorúan ellenőrzött környezetben kapcsolják ki a tanúsítványok online ellenőrzését.

A Beckhoff ultrakompakt, C6025 típusú ipari PC az Intel Core i processzorcsalád nagy számítási teljesítményével rendelkezik, ventilátor nélküli, kisméretű kivitelben. A rendkívül alacsony fogyasztású, új Intel Core i U processzorok teszik mindezt lehetővé.

a címlapról

Hirdetés

Csúcstechnológia pár koppintással: ezt tudja a Huawei nova 9

2021. december 4. 15:39

Manapság egyre-másra jelennek meg olyan új mobilok, amelyek hihetetlen funkciókat ígérnek, de ezeket szinte műszaki diplomával lehet csak előcsalogatni. A HUAWEI nova 9 igazi ereje abban rejlik, milyen egyszerű előcsalogatni a mobil tudását.