Szerző: Bodnár Ádám

2013. június 20. 14:53

40 sebezhetőséget foltoztak be a Javában

Megérkezett a Java SE 7u25, a futtatókörnyezet legújabb frissítése, amelyben számos biztonsági sebezhetőséget foltozott be az Oracle, illetve végre alapértelmezetté tette a visszavont tanúsítványok ellenőrzését.

A héten megérkezett a Java legújabb frissítése, a 7u25. Az Oracle mérnökei összesen 40 sebezhetőséget javítottak ebben a kiadásban. A sérülékenységek közül 34 csak a kliensoldali telepítéseket érinti, 4 mind a kliens-, mind a szerveroldali kiadást, egy sebezhetőséget javítottak a telepítőben és egyet a HTML5 dokumentációk létrehozására alkalmas Javadocban.

A befoltozott sebezhetőségek közül nem kevesebb mint 11 kapta meg a Common Vulnerability Scoring System (CVSS) szerinti legmagasabb pontszámot (10), hétköznapi értelemben ezek a legkisebb szakértelmet igénylő, legegyszerűbb, távolról is kiaknázható, kritikus sebezhetőségek. További három rés kapott 9-nél magasabb kockázati pontszámot, ezek közepes összetettségű hibák, amelyeket szintén távolról ki lehet használni. A részletes lista itt érhető el.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A Javadoc HTML formátumú dokumentációk létrehozására szolgál, ebben is volt egy sérülékenység - a szoftverrel készített weboldalakban a támadó frame-eket helyezhetett el és ezzel például más URL-re irányíthatta a látogatókat vagy olyan tartalmat juttathatott el a gépükre, amelyet ők nem is kértek. A Java 7u25-ben kijavította ezt a sérülékenységet az Oracle, az új Javadoc által létrehozott oldalak nem sebezhetőek. A cég emellett kiadott egy Java API Documentation Updater nevű segédprogramot is, amellyel a régebbi Javadoc-verziókkal létrehozott oldalakat lehet kijavítani.

Még egy fontos biztonsági fejlesztést kapott a Java: régóta elterjedt trükk a kártékony alkalmazásokat érvényüket vesztett, visszavont tanúsítványokkal hitelesíteni, a Java futtatókörnyezet pedig eddig alapértelmezésként nem ellenőrzte ezeket, csak ha a felhasználó ezt külön engedélyezte a Java Control Panelben az "Enable online certification validation" és a "Check certificates for revocation using certificate revocation Lists (CRLs)" menüpontokban az "Advanced" fülön. A Java 7u25-ben ez alapértelmezésként be van már kapcsolva, vagyis a lejárt, visszavont tanúsítvánnyal aláírt alkalmazások nem indulnak el automatikusan, csak ha a felhasználó azt külön jóváhagyja.

Érdemes megjegyezni, hogy amennyiben a Java futtatókörnyezet az alkalmazások indulása előtt ellenőrzi a visszavont tanúsítványokat, az némileg megnöveli az appok indulási idejét, amennyiben pedig nincs élő internetelérés, az jelentősen elnyújthatja ezt a folyamatot. Az Oracle azt tanácsolja a felhasználóknak, csak szigorúan ellenőrzött környezetben kapcsolják ki a tanúsítványok online ellenőrzését.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról