Video: How to install Java 6/7/8 in Ubuntu 13.04/13.10 (Oktober 2024)
Oracle har gitt ut nok en nødoppdatering for Java. Dette er den tredje nødoppdateringen selskapet har gitt ut i 2013 for å fikse gapende sikkerhetsproblemer i Java som allerede ble brukt i angrep.
De siste oppdateringene, Java 7-oppdatering 17 og Java 6-oppdatering 43, tok for seg CVE-2013-1493 og en relatert sårbarhet (CVE-2013-0809), sa Oracle i sin sikkerhetsrådgivning som ble utgitt mandag. Begge sårbarhetene påvirker 2D-komponenten i Java SE, som håndterer runtime-grafikk og hvordan bilder blir gjengitt, ifølge et blogginnlegg fra Eric Maurice, programvaresikkerhetssikringsdirektør i Oracle.
Alle Java-brukere bør umiddelbart oppgradere til de nyeste versjonene, sier selskapet.
"Disse sårbarhetene kan utnyttes eksternt uten autentisering, det vil si at de kan utnyttes over et nettverk uten behov for brukernavn og passord, " skrev Oracle.
Angripere kan lure intetanende brukere til å besøke en ondsinnet hosting-kode som utløser disse sikkerhetsfeilene, sa Oracle. Forskere oppdaget angrep i naturen som smittet brukerdatamaskiner med McRAT-fjernadgangen Trojan. McRAT kontakter kommando- og kontrollservere og kopierer seg selv til Windows-operativsystemprosessene.
Utnyttelser, hvis vellykket, "kan påvirke tilgjengeligheten, integriteten og konfidensialiteten til brukerens system, " skrev Oracle.
Mange oppdateringer, deaktiver hvis du kan
Oracle oppdaterte Java i midten av januar og igjen i begynnelsen av februar med nødoppdateringer etter at rapporter kom frem over jul om en serie vannhullsstilangrep som påvirker forskjellige nettsteder. Selskapet rullerte ut en planlagt oppdatering med adresse på 50 feil 19. februar. Disse to feilene ble rapportert til Oracle 1. februar, men kunne ikke inkluderes i 19. februar-oppdateringen, skrev Maurice.
Tatt i betraktning at den neste planlagte Java-oppdateringen var i april, bestemte selskapet seg for å frigjøre et uten-band-lapp fordi feilen ble brukt aktivt i angrep.
"For å bidra til å opprettholde sikkerhetsstillingen for alle Java SE-brukere, bestemte Oracle å løslate en løsning for dette sikkerhetsproblemet og en annen nært beslektet feil så snart som mulig, " skrev Maurice.
Maurice forsikret brukere om at problemene bare er til stede i Java-applikasjoner som kjører i nettlesere, og ikke gjelder Java som kjører på servere, frittstående Java-skrivebordsprogrammer eller innebygde Java-applikasjoner eller Oracle-serverbasert programvare. Mange sikkerhetseksperter og Department of Homeland Security Computer Emergency Response Team (CERT) anbefaler at brukere deaktiverer Java-plugin i nettleserne hvis de ikke bruker det regelmessig.
Hvis brukeren trenger Java, som dekker et stort flertall av forretnings- og utdanningsbrukere, er det verdt å holde en egen nettleser med Java-plugin-modulen installert, og bruke nettleseren til å få tilgang til bare disse nettstedene.
Lamar Bailey, direktør for sikkerhetsforskning og -utvikling i nCircle, sa til Det er bra å se Oracle reagere raskere på kritiske sårbarheter. "Jeg håper Oracle allerede har tildelt et team av deres beste sikkerhetsingeniører til å proaktivt skvise noen av de gjenværende Java-sikkerhetsproblemene, men frem til da vil brukerne oppdatere Java så ofte de oppdaterer AV-signaturer, " sa han.
Java 6 kom inn i slutten av livet i februar, og ga anledning til bekymring for om Oracle ville forlate den eldre versjonen uten sidestykke. Oracle lappet Java 6 i denne oppdateringen, som fortsatt brukes av mange brukere. Det er ikke klart hvordan Oracle vil håndtere oppdateringer for Java 6 de neste månedene.
"Jeg har alltid trodd at Oracle gjorde en god jobb med å sikre produktene sine, men det siste utslaget av Java-sårbarheter gjør at jeg mister troen, " sa Bailey, og la til at han nå lurer på hva slags alvorlige sikkerhetsproblemer som er i Orakles andre produkter..
Flere Java-feil funnet
I et pågående spill med katt og mus betyr en Java-oppdatering at det er på tide med flere avsløringer om sårbarhet. Adam Gowdiak, leder for det polske forskningsfirmaet Security Explorations, fant ytterligere fem Java 7-problemer.
"Fem nye sikkerhetsproblemer ble oppdaget i Java SE 7 (nummer 56 til 60), som når de kombineres sammen kan med hell brukes til å få en komplett Java-sikkerhetssandbox-bypass i miljøet til Java SE 7 oppdatering 15, " skrev Gowdiak mandag på Bugtraq-postliste. Det ser ut til at angripere vil kunne bruke problemene for å bryte noen av sikkerhetskontrollene som Oracle nylig har implementert, sa Gowdiak. Alle de fem sakene må brukes sammen for at angrepet skal lykkes. Gowdiak har allerede sendt inn detaljert informasjon og proof-of-concept-kode til Oracle.
To av problemene kan også påvirke Java 6, men det er ikke bekreftet.
"Java viser seg å være gaven som fortsetter å gi for angripere, " sa Andrew Storms, direktør for sikkerhetsoperasjoner i nCircle, til SecurityWatch . Han spådde mer målrettede angrep mot større selskaper og myndigheter. "Den dårlige nyheten med Java blir bare dårligere og det er ingen ende i sikte, " sa han.
