Video: Oracle JDK vs OpenJDK: Что же устанавливать начинающему? (Nobyembre 2024)
Ang Oracle ay naglabas ng isa pang pag-update sa emerhensya para sa Java. Ito ang pangatlong pag-update ng emerhensiya na inilabas ng kumpanya noong 2013 upang ayusin ang nakakapag-ugnay na mga isyu sa seguridad sa Java na ginagamit na sa pag-atake.
Ang pinakabagong pag-update, ang update ng Java 7 at ang pag-update ng Java 6 na 43, na hinarap ang CVE-2013-1493 at isang kaugnay na kahinaan (CVE-2013-0809), sinabi ni Oracle sa security advisory na inilabas nitong Lunes. Ang parehong mga kahinaan ay nakakaapekto sa 2D na bahagi ng Java SE, na humahawak ng mga graphic na graphic at kung paano ang mga imahe ay naibigay, ayon sa isang post sa blog mula kay Eric Maurice, direktor ng seguridad ng software sa Oracle.
Ang lahat ng mga gumagamit ng Java ay dapat agad na mag-upgrade sa pinakabagong mga bersyon, sinabi ng kumpanya.
"Ang mga kahinaan na ito ay maaaring mapagsamantalahan nang walang pagpapatunay, ibig sabihin, maaari silang mapagsamantalahan sa isang network nang hindi nangangailangan ng isang username at password, " isinulat ni Oracle.
Ang mga pag-atake ay maaaring linlangin ang hindi nag-aalinlangan na mga gumagamit sa pagbisita sa isang nakakahamak na code sa web page na nag-uudyok sa mga bahid ng seguridad, sinabi ni Oracle. Natuklasan ng mga mananaliksik ang mga pag-atake sa ligaw na nakakahawang computer ng gumagamit na may remote na pag-access sa McRAT Trojan. Makipag-ugnay sa mga server ng control-and-control ang McRAT at kinopya ang sarili sa mga proseso ng operating system ng Windows.
Ang mga eksploit, kung matagumpay, "ay maaaring makaapekto sa pagkakaroon, integridad, at pagiging kumpidensyal ng system ng gumagamit, " isinulat ni Oracle.
Maraming Mga Update, Huwag paganahin kung Maaari mong
Oracle na-update ang Java noong kalagitnaan ng Enero at muli sa unang bahagi ng Pebrero na may mga pag-update sa emerhensya matapos ang mga ulat na lumitaw sa Pasko ng isang serye ng mga pag-atake ng estilo ng pagtutubig na nakakaapekto sa iba't ibang mga site. Ang kumpanya ay gumulong ng isang naka-iskedyul na pag-update na pagtugon sa 50 mga bug noong Pebrero 19. Ang dalawang mga bug na iniulat sa Oracle Pebrero 1, ngunit hindi maaaring maisama sa pag-update ng Peb. 19, isinulat ni Maurice.
Isinasaalang-alang ang susunod na naka-iskedyul na pag-update ng Java ay noong Abril, nagpasya ang kumpanya na palabasin ang isang out-of-band patch dahil ang kapintasan ay aktibong ginagamit sa mga pag-atake.
"Upang makatulong na mapanatili ang seguridad ng postura ng lahat ng mga gumagamit ng Java SE, nagpasya si Oracle na palabasin ang isang pag-aayos para sa kahinaan na ito at isa pang malapit na nauugnay na bug sa lalong madaling panahon, " sumulat si Maurice.
Tiniyak ng mga gumagamit ng Maurice na ang mga isyu ay naroroon lamang sa mga aplikasyon ng Java na tumatakbo sa Web browser, at hindi nalalapat sa Java na tumatakbo sa mga server, mga nakapag-iisang application na desktop ng Java, o naka-embed na aplikasyon ng Java, o software na nakabase sa Oracle-server. Maraming mga dalubhasa sa seguridad at ang Kagawaran ng Homeland Security Computer Emergency Response Team (CERT) ang inirerekumenda na huwag paganahin ang mga gumagamit ng Java plugin sa kanilang mga browser kung hindi nila ito regular na ginagamit.
Kung ang gumagamit ay nangangailangan ng Java, na sumasaklaw sa isang karamihan ng mga gumagamit ng negosyo at edukasyon, sulit na mapanatili ang isang hiwalay na browser na may naka-install na Java plug-in, at gamitin ang browser na iyon ay makukuha lamang ang mga site na iyon.
"Mahusay na makita ang mabilis na pagtugon ni Oracle sa mga kritikal na kahinaan, ngunit ito ay paraan ng oras para sa kanila na gumawa ng isang mas malalim na pagsisid sa mga isyu sa seguridad ng Java, " si Lamar Bailey, direktor ng pagsasaliksik ng seguridad at pag-unlad sa nCircle, sinabi sa SecurityWatch . "Inaasahan ko na naatasan na ni Oracle ang isang koponan ng kanilang pinakamahusay na mga inhinyero sa seguridad na proactively squash alinman sa natitirang mga isyu sa seguridad ng Java, ngunit hanggang sa pagkatapos ay mai-update ng mga gumagamit ang Java nang madalas hangga't ina-update nila ang mga pirma ng AV, " sabi niya.
Ang Java 6 ay pumasok sa end-of-life nitong Pebrero, na nag-aalala kung aalisin o hindi ang Oracle ng mas lumang bersyon na hindi ipinadala. Oracle na naka-patch na Java 6 sa update na ito, na ginagamit pa rin ng maraming mga gumagamit. Hindi malinaw kung paano hahawak ng Oracle ang mga patch para sa Java 6 sa susunod na ilang buwan.
"Palagi kong naisip na gumawa si Oracle ng isang magandang trabaho sa pag-secure ng kanilang mga produkto, ngunit ang mga kamakailan-lamang na pagdurusa ng mga kahinaan sa Java ay nagdudulot sa akin na mawalan ng pananampalataya, " sabi ni Bailey, na nagdaragdag na ngayon ay nagtataka siya kung anong uri ng mga malubhang problema sa seguridad sa iba pang mga produkto ng Oracle .
Marami pang Java Bugs Natagpuan
Sa isang patuloy na laro ng pusa at mouse, ang isang pag-update ng Java ay nangangahulugang oras na para sa higit na kahinaan ng mga pagsisiwalat. Si Adam Gowdiak, pinuno ng Polish research firm Security Explorations, ay natagpuan ang isa pang limang isyu sa Java 7.
"Limang mga bagong isyu sa seguridad ay natuklasan sa Java SE 7 (bilang bilang 56 hanggang 60), na kapag pinagsama ay maaaring matagumpay na magamit upang makakuha ng isang kumpletong Java security sandbox bypass sa kapaligiran ng Java SE 7 update 15, " isinulat ni Gowdiak Lunes sa Listahan ng pag-mail sa Bugtraq. Lumilitaw na maaaring gamitin ng mga umaatake ang mga isyu upang masira ang ilang mga tseke ng seguridad na ipinatupad kamakailan ni Oracle, sinabi ni Gowdiak. Lahat ng limang mga isyu ay kailangang magamit nang magkasama upang magtagumpay ang pag-atake. Si Gowdiak ay nagsumite na ng detalyadong impormasyon at code-proof-of-concept sa Oracle.
Ang dalawa sa mga isyu ay maaari ring makaapekto sa Java 6, ngunit hindi ito napatunayan.
"Ang Java ay nagpapatunay na regalo na patuloy na nagbibigay para sa mga umaatake, " sabi ni Andrew Storms, direktor ng mga operasyon sa seguridad sa nCircle, sinabi sa SecurityWatch . Inihula niya ang mas target na pag-atake laban sa mga pangunahing korporasyon at mga nilalang ng gobyerno. "Ang masamang balita sa Java ay patuloy na lumalala at walang katapusan sa paningin, " aniya.
