`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Oracle выпустила заплатку для критической уязвимости в Java 7

+11
голос
Oracle выпустила заплатку для критической уязвимости в Java 7

Oracle выпустила обновление Java 7 Update 11, в котором исправила ранее обнаруженную серьезную уязвимость в платформе. Компания намеревалась выпустить квартальный набор заплаток завтра, однако опасность новой Java-уязвимости вынудила Oracle выпустить исправление максимально быстро.

О критической уязвимости CVE-2013-0422 в среде Java стало общеизвестно около недели назад, но она уже успела получить широкую огласку, так как, во-первых, позволяет внедрить через браузер на компьютер любой файл и исполнить его, а во-вторых, уже активно распространяется в Сети. В Европе и Северной Америке эта уязвимость уже используется злоумышленниками и было зафиксировано несколько попыток вторжения с ее помощью.

В Oracle заявили, что уязвимость вызвана ошибкой, которая присутствует только в JDK 7 и всех ее обновлений, включая Update 10. Атаки при этом можно осуществить только в случае браузерных запросов. Также в компании заявили, что проблема связана с методом Class.forName(), позволяющим загружать программе другие, в том числе и ограниченные классы.

Реагируя на угрозу, в конце прошлой недели американские и немецкие регуляторы персональных данных выпустили официальные заявления, согласно которым они рекомендуют государственным пользователям полностью отказаться от Java до выхода исправления. В Apple временно внесли Java-плагин для браузера Safari в черный список приложений, хотя под их ОС пока и не зафиксировано вредоносных кодов. Mozilla также добавила все нынешние редакции Java в «черный список» дополнений.

В Java 7 Update 11 была устранена и другая уязвимость — CVE-2012-3174, которая также работает через браузеры. Кроме того, в Oracle заявили, что после установки Update 11 пользовательские настройки безопасности в Java автоматически перейдут в режим повышенной безопасности. В этом режиме каждый раз при попытке выполнения Java-апплета, даже если он имеет сертификат, пользователь будет получать запрос.

Впрочем, даже после релиза обновления независимые эксперты не спешат успокаивать пользователей, так как ряд старых дыр, на которые Oracle уже давно указывали, все еще существуют в коде Java.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT