Video: 16.2 Java Database Connectivity Practical (Oktober 2024)
Oracle har gitt ut en nødoppdatering for å lukke en alvorlig sikkerhetsfeil i Java som allerede ble brukt av angripere for å bryte inn i brukerdatamaskiner.
Uttalingsplasteret adresserer den nylig oppdagede kritiske sårbarheten i Orakles Java 7, sa Oracle i sin sikkerhetsrådgivende utgave 13. januar. En angriper ville utnytte den siste feilen ved å lure brukere til å besøke et nettsted som kjører en ondsinnet applet. Brukere anbefales å umiddelbart oppdatere til Java 7 Update 11.
Java 7 Update 11 demper både CVE-2013-0422 (det nyeste sikkerhetsproblemet) så vel som CVE-2012-3174, en eldre ekstern kodeutførelsesfeil fra juni i fjor. Begge feil fikk en Common Vulnerability Scoring System-rating på 10, den maksimale mulige poengsummen på denne skalaen. I denne oppdateringen lukket Oracle feilen og endret også hvordan Java samhandlet med webapplikasjoner.
"Standard sikkerhetsnivå for Java-appleter og webstart-applikasjoner er økt fra 'middels' til 'høyt, " sa Oracle i rådgivningen.
Dette betyr at brukeren alltid vil bli bedt om før en usignert Java-applet eller Web Start-applikasjon kan kjøre. Tidligere kjørte Java-appleter og applikasjoner automatisk hvis brukerne hadde den nyeste versjonen av Java installert. Med den "høye" innstillingen blir brukeren alltid advart før noen usignert applikasjon kjøres slik at angriperne ikke vil være i stand til å starte stille angrep, sa Oracle.
Out-of-Band lapp
En nødplaster fra Oracle er uvanlig. Selskapet lapper vanligvis Java på en kvartalssyklus, men frigjorde sannsynligvis denne løsningen utenfor bandet fordi angrepskoden som utnytter dette sikkerhetsproblemet allerede er lagt til flere populære utnyttelsessett, inkludert "Blackhole" og "NuclearPack." Crimware-sett gjør det lettere for kriminelle å smitte datamaskiner med skadelig programvare og overta maskinene til sine egne skumle formål. Forskere har allerede avdekket nettsteder som kjører koden, selv om det foreløpig ikke er kjent hvor mange brukere som allerede har blitt kompromittert.
Oracle slapp tidligere en ut-av-bånd-lapp i fjor høst etter at forskere avdekket en lignende fjernutførelsesfeil.
Påvirker Java i nettlesere, ikke Desktop
Det er viktig å huske at de to sårbarhetene for eksekvering av ekstern kode som er fikset i denne oppdateringen, "bare gjelder Java i nettlesere fordi de kan utnyttes gjennom ondsinnede nettleser-appleter, " skrev Eric Maurice, Orakles direktør for sikkerhetssikkerhet for programvare på Oracle Software Security Assurance Blog. Hvis du ikke jevnlig får tilgang til nettsteder som kjører Java, er det verdt å deaktivere Java-pluginen i nettleseren. Her er trinnvise instruksjoner for hvordan du deaktiverer Java fra SecurityWatchs Neil Rubenking.
Mange stasjonære applikasjoner og populære spill (Minecraft, noen?) Bruker Java, men den lokale Java-klienten er ikke under angrep.
"Disse sårbarhetene påvirker ikke Java på servere, Java-desktop-applikasjoner eller innebygd Java, " skrev Maurice.
