dodany: 14.01.2013 | tagi: , , ,

Autor:

Oracle wydało poprawkę na bug zero-day w Javie

1

Wcześniej w tym tygodniu pisaliśmy o exploicie, który dzięki dziurze w zabezpieczeniach najnowszej wersji Javy umożliwia przejęcie komputera ofiary. Hakerzy zamieniali skompromitowane strony w instalacyjne platformy cichych keyloggerów oraz innego złośliwego oprogramowania. Gdy wszystko ujrzało światło dzienne, nawet w pełni załatane instalacje Javy były zagrożone.

Dziś jednak wydaje się, że problem został rozwiązany. Oracle opublikowało krytyczną aktualizację zabezpieczeń. Java 7 Update 11 naprawia wszystkiemu winnego buga i  jest dostępna zarówno na stronie internetowej Oracje jak i w panelu sterowania Java w aktywnym programie.

Brian Krebs z KrebsOnSecurity donosi, że aktualizacja zmienia sposób, w jaki Java obsługuje aplikacje webowe:

domyślny poziom zabezpieczeń dla apletów i aplikacji webowych został zwiększony ze średniego do wysokiego. Wpływa to na warunki, w jakich niedopisane (sandboxowane) webowe aplikacje używające Javy mogą być uruchamiane. Wcześniej, jeśli miało się najnowsze bezpieczne aplety Javy, aplikacje webowe mogły działać bez żadnych problemów. Przy wysokim poziomie zabezpieczeń użytkownik jest zawsze ostrzegany przed uruchomieniem jakiejkolwiek niepodpisanej aplikacji, aby zapobiec cichym exploitom.

– powiedział Krebs.

Miło ze strony Oracle, że tak szybko zareagowali. Jednak wydaje się, że tak szybka aktualizacja nie do końca naprawia problem.

Adam Gowdiak z Security Explorations przygląda się wadom w Javie od zeszłego roku. Po analizie ostatniej aktualizacji jest pewien, że aktualizacja zostawia za sobą kilka problemów krytycznych dla bezpiecznego korzystania z Javy.

Nie odważymy się powiedzieć użytkownikom, że używanie Javy po aktualizacji jest bezpieczne

– stwierdził Gowdiak.

Gowdiak nie jest jedynym, który ma wątpliwości co do szybkiej aktualizacji Javy. Jaime Blasco z AlienVault Labs nazwał aktualizacje Oracle’a bałaganem i wzywa do natychmiastowego pozbycia się jej z komputerów.

Dyrektor ds. bezpieczeństwa korporacyjnego w Rapid7, HD Moore wyliczył, że Oracle potrzebowałoby 2 lat, żeby naprawić wszystkie problemy znajdujące się w Javie i proponuje, aby raczej pogodzić się z tym, że Java jest, była i będzie awaryjna. Radzi także, aby ją odinstalować, bo mało komu jest ona naprawdę potrzebna na desktopie.

Redaktor działu aktualności WebSecurity.pl. Z zamiłowania i wykształcenia pedagog. Propagatorka łączenia wolnego i otwartego oprogramowania i edukacji. Miłośniczka kawy, czekolady i książek psychologicznych.

Jedna odpowiedź do “Oracle wydało poprawkę na bug zero-day w Javie”

  1. avatar Rocik napisał(a):

    Niestety stwierdzenie, że "mało komu jest ona naprawdę potrzeba na desktopie" jest dość.. naciągane. Owszem, często można się obejść bez Javy, ale czasami jest ona potrzebna i nie ma zmiłuj.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *