Oracle uruchamia kolejną aktualizację Javy, naprawiając 50 luk w zabezpieczeniach

Po ujawnieniu przez badaczy zabezpieczeń luk w ostatniej aktualizacji Java wydanej w styczniu, Oracle przyspieszyło przed terminem kolejny pakiet poprawek dla języka programowania.

Najnowsza aktualizacja, pierwotnie zaplanowana na luty 19, zawiera 50 poprawek bezpieczeństwa dla 49 błędów, które można było zdalnie wykorzystać bez zezwolenia. Oznacza to, że mogą być używane w sieci bez znajomości nazwy użytkownika i hasła.

Oracle poinformowało o aktualizacji wcześniej, ponieważ jedna z luk uwzględnionych w aktualizacji jest już wykorzystywana w środowisku naturalnym.

[Dodatkowe uwagi: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]

"Ze względu na zagrożenie związane z udanym atakiem firma Oracle zaleca, aby klienci zastosowali poprawki procesora tak szybko, jak to możliwe", ostrzegała firma w aktualizacji.

Oracle rzucił się w styczniu poprawka bezpieczeństwa dla Javy, po tym jak zespół Departamentu Bezpieczeństwa Wewnętrznego Departamentu Bezpieczeństwa Krajowego (US-CERT) zalecił wyłączenie oprogramowania przez wszystkich jego użytkowników ze względów bezpieczeństwa. Obawy te dotyczyły luki Zero Day, wykorzystywanej przez zestawy narzędzi stworzone przez cyberprzestępców i wykorzystywane do kradzieży poufnych informacji z komputerów.

Nawet po wydaniu tej poprawki, aktualizacja Java 7 11, agencja nadal zalecała wyłączenie Javy, chyba że używanie jej było absolutnie konieczne.

Szybko okazało się, że poprawka 7u11 nie trafiła w swój znak. Kilka dni po wydaniu hackera zaczął sprzedawać na czarnym czarnym rynku parę nowych luk w Javie Zero Day za 5000 $.

Inni hakerzy, być może pozbawieni umiejętności wykrywania luk, zaczęli wykorzystywać nagłówki na temat nieszczęść Javy przez montowanie wywiady phishingowe oferujące fałszywe aktualizacje języka programowania Oracle. Po instalacji przez użytkownika, fałszywa aktualizacja instaluje tylne drzwi do systemu, który pozwala hakerowi na jego kontrolowanie.

Błędy wykryte w aktualizacji

Nieszczęścia Javy były kontynuowane później w miesiącu Security Explorations, polskiej firmy ochroniarskiej z historia znajdowania luk w zabezpieczeniach w Javie, odkryła nowe luki w aktualizacji 7u11, które można wykorzystać w celu uniknięcia piaskownicy programu - techniki programistycznej używanej do izolowania szkód, które szkodliwy kod może wyrządzić w systemie.

"Te problemy będą nadal występować dopóki Oracle nie naprawi piaskownicy ", powiedział w wywiadzie dla analityka Bitdefender Senior E Bogdan Botezatu.

Botezatu był krytyczny wobec tego, jak bardzo Oracle polegał na zachowaniu bezpieczeństwa użytkowników w aktualizacji 7u11.

Na przykład aktualizacja domyślnie ustawia najwyższy poziom bezpieczeństwa dla Javy. Na tym poziomie za każdym razem, gdy niepodpisany aplet Javy próbuje uruchomić się w przeglądarce, pojawia się komunikat ostrzegający użytkownika, że ​​aplikacja może być niebezpieczna i że użytkownik powinien wykonać to na własne ryzyko.

Zazwyczaj użytkownicy ignorują takie ostrzeżenia, ponieważ uważają je za denerwujące. Jest to szczególnie ważne w przypadku dzieci, które grają w gry Java w Internecie - wskazuje Botezatu, nie zagubiony w cyfrowych desperadach. "Widziałem wiele stron internetowych zawierających złośliwe oprogramowanie w języku Java na stronach, które zostały zoptymalizowane pod kątem słów kluczowych skierowanych do dzieci", powiedział.

Dzięki najnowszej aktualizacji Java, Oracle może próbować zmienić swoje szczęście w programie. Wygląda na to, że pominięto aktualizację 12 w schemacie numeracji i określono najnowszy pakiet poprawek aktualizacji Java 7 13.