Video: How to manage Windows updates | Simply Windows (Oktober 2024)
Tilbake i juni fortalte vi deg om hvordan Oracle lovet å gjøre det bedre med Java og å oppdatere plattformen oftere. Dette var hovedsteinen i en serie pinlige episoder der Java ble brukt om og om igjen for å angripe brukere. Denne uken slapp Oracle den første av en ny serie oppdateringer for Java, som de håper vil gjøre de tre milliardene enhetene som kjører deres produkt sikrere. Det kan være sant, men oppdateringen er skremmende stor med like skremmende implikasjoner.
Lapping Raskere
Tidligere ble Java oppdatert tre ganger i året, men starter denne uken vil den oppdateres kvart år sammen med resten av Orakles produkter som en del av deres Critical Patch Update, eller CPU (jeg ser hva du gjorde der, Oracle).
Sett under ett inkluderer oppdateringen 127 sikkerhetsrettinger. Av disse er 51 for Java og her er den skremmende delen 50 av disse sårbarhetene, med Oracle ord, "eksternt kan utnyttes uten autentisering."
Men åh, det blir bedre. På Qualys-bloggen skriver CTO Wolfgang Kandek "12 sårbarheter som har den høyeste CVSSv2-poengsum på 10, noe som indikerer at disse sårbarhetene kan brukes til å ta full kontroll over den angrepne maskinen over nettverket uten å kreve godkjenning." Han fortsetter med å påpeke at de fleste oppdateringene påvirker bærbare og stasjonære brukere (f.eks. Du som leser dette akkurat nå), men det er to svært kritiske oppdateringer relatert til serverinstallasjoner.
På tide å oppdatere!
De fleste brukere vil sannsynligvis motta oppdateringer automatisk, men bare for å være sikker har Oracle gitt en nyttig side for å teste hvilken versjon du kjører. Hvis den oppdager en utdatert installasjon, vil den be deg om å laste ned og installere oppdateringen. Merk at den nyeste versjonen fra denne uken er Java 7-oppdatering 45.
Jeg kommer til å ta et raskt sekund for å minne brukerne på å være veldig forsiktige når de oppdaterer Java manuelt fordi den vil prøve å overbevise deg om å installere Ask.com-verktøylinjen og endre standard søkemotor til Ask.
For lite?
Selv om det er bra å se Oracle trappe opp sikkerhetsspillet, var det ikke alle som satte pris på Oracle. Sophos Senior sikkerhetsrådgiver Chester Wisniewski skrev på selskapets blogg at dette føles som for lite for sent. "Hvis omdømmet ditt er så dårlig, og du utsetter mer enn en milliard brukere for dine mangler, må du svare raskere."
Wisniewski fortsatte med å antyde at Oracle's prioriteringer var feiljustert, og hadde frimodighet til å angripe Larry Ellisons Oracle-merkede båt som nylig vant America's Cup. "Legg prisen på hyllen i lobbyen din, selg båten på ti millioner dollar og ansett ingeniørene som trengs for å oppdatere Java-patch-syklusen til månedlig med reservekassa, " skrev Wisniewski. "3+ milliarder enheter vil takke deg."
Å oppdatere Java-installasjonen er den beste måten å holde deg beskyttet mot Java-baserte angrep, som er bakt i mange utnyttelsessett og ofte brukt av angripere. Selvfølgelig kan du alltid trekke i pluggen og deaktivere Java helt.
