Oracle wydaje awaryjną poprawkę dla exploita zero-day w języku Java

Oracle wydało w poniedziałek poprawki awaryjne dla Javy, aby zająć się dwiema krytycznymi lukami, z których jedna jest aktywnie wykorzystywana przez hakerów w atakach ukierunkowanych.

Luki, określone jako CVE- 2013-1493 i CVE-2013-0809 znajdują się w komponencie 2D środowiska Java i uzyskały najwyższą możliwą ocenę wpływu Oracle.

"Luki te mogą być zdalnie wykorzystywane bez uwierzytelniania, tj. Mogą być wykorzystywane w sieci bez konieczności podawania nazwy użytkownika i hasła "- poinformowała firma w ostrzeżeniu dotyczącym bezpieczeństwa. "Aby exploit zakończył się powodzeniem, niczego nie podejrzewający użytkownik, który uruchomił szkodliwą wersję w przeglądarce, musi odwiedzić złośliwą stronę internetową, która wykorzystuje te luki. Udane exploity mogą wpływać na dostępność, integralność i poufność systemu użytkownika. "

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Nowo wydane aktualizacje podnoszą wersję Java do wersji 7 Update 17 (7u17) i 6 Update 43 (6u43), pomijając 7u16 i 6u42 z powodów, które nie były od razu jasne.

Oracle zauważa, że ​​Java 6u43 będzie ostatnią publicznie dostępną aktualizacją dla Java 6 i zaleci użytkownikom aktualizację do Javy 7. publiczna dostępność aktualizacji Java 6 miała zakończyć się aktualizacją Java 6 Update 41, wydaną 19 lutego, ale wydaje się, że firma zrobiła wyjątek dla tej łaty awaryjnej.

Luka CVE-2013-1493 została aktywnie wykorzystana przez atakujący od co najmniej czwartku, kiedy naukowcy z firmy ochroniarskiej FireEye wykryli ataki wykorzystujące go do zainstalowania szkodliwego oprogramowania o nazwie McRAT. Wydaje się jednak, że Oracle zdawała sobie sprawę z istnienia tej luki od początku lutego.

"Niedawno pojawiły się doniesienia o aktywnym wykorzystaniu luki CVE-2013-1493, błąd ten został pierwotnie zgłoszony firmie Oracle 1 lutego 2013 r., niestety zbyt późno, aby zostać uwzględnionym w wydaniu 19 lutego aktualizacji Critical Patch Update dla Java SE ", powiedział Eric Maurice, dyrektor ds. zapewnienia oprogramowania Oracle, w poście na blogu w poniedziałek.

Firma planowała naprawić CVE-2013- 1493 w następnej zaplanowanej aktualizacji Java Critical Patch, 16 kwietnia, powiedział Maurice. Ponieważ jednak luka zaczęła być wykorzystywana przez atakujących, firma Oracle zdecydowała się wcześniej wydać poprawkę.

Dwie luki rozwiązane za pomocą najnowszych aktualizacji nie mają wpływu na środowisko Java działające na serwerach, autonomiczne aplikacje Java lub wbudowane aplikacje Java. - powiedział Maurice. Zaleca się, aby użytkownicy instalowali poprawki tak szybko, jak to możliwe, powiedział.

Użytkownicy mogą wyłączyć obsługę internetowych treści Java z karty bezpieczeństwa w panelu sterowania Java, jeśli nie potrzebują Java w sieci. Ustawienia zabezpieczeń dla takiej zawartości są ustawione domyślnie na wysoką wartość, co oznacza, że ​​użytkownicy są monitowani o autoryzację wykonywania apletów Java, które nie są podpisane lub podpisują się wewnątrz przeglądarek.

Ma to na celu zapobieganie zautomatyzowanemu wykorzystywaniu luk w Javie przez Internet, ale działa tylko wtedy, gdy użytkownicy są w stanie podejmować świadome decyzje o tym, które aplety autoryzować, a które nie. "Aby się zabezpieczyć, użytkownicy komputerów stacjonarnych powinni zezwalać tylko na wykonywanie apletów, kiedy oczekują takich apletów i ufać ich pochodzeniu" - powiedział Maurice.