Video: How To Fix -Application Blocked By Java Security Error In Java 8? (September 2024)
Tillbaka i juni berättade vi om hur Oracle lovade att göra bättre med Java och att uppdatera plattformen oftare. Detta var huvudstenen i en serie pinsamma avsnitt där Java användes om och om igen för att attackera användare. Denna vecka släppte Oracle den första av en ny serie uppdateringar för Java, som de hoppas kommer att göra de tre miljarder enheter som kör deras produkt säkrare. Det kan vara sant, men uppdateringen är skrämmande stor med lika skrämmande implikationer.
Lappning snabbare
Tidigare uppdaterades Java tre gånger om året, men från och med den här veckan kommer den att uppdateras kvartalsvis tillsammans med resten av Orakles produkter som en del av deras Critical Patch Update, eller CPU (jag ser vad du gjorde där, Oracle).
Sammantaget innehåller uppdateringen 127 säkerhetsfixar. Av dessa är 51 för Java och - här är den läskiga delen - 50 av dessa sårbarheter kan, med hjälp av Oracle, "vara fjärrutnyttjbara utan verifiering."
Men åh, det blir bättre. På Qualys-bloggen skriver CTO Wolfgang Kandek "12 sårbarheter med den högsta CVSSv2-poängen på 10, vilket indikerar att dessa sårbarheter kan användas för att ta full kontroll över den angripna maskinen över nätverket utan att kräva autentisering." Han påpekar att de flesta uppdateringarna påverkar bärbara och stationära användare (t.ex. du som läser detta just nu), men det finns två mycket kritiska uppdateringar relaterade till serverinstallationer.
Dags att uppdatera!
De flesta användare kommer förmodligen att få uppdateringar automatiskt, men bara för att vara säker har Oracle tillhandahållit en användbar sida för att testa vilken version du kör. Om den upptäcker en föråldrad installation kommer den att uppmana dig att ladda ner och installera uppdateringen. Observera att den senaste versionen den här veckan är uppdatering 45 av Java 7.
Jag kommer att ta en kort sekund för att påminna användare om att vara mycket försiktiga när de uppdaterar Java manuellt eftersom det kommer att försöka övertyga dig om att installera Ask.com-verktygsfältet och ändra din standardsökmotor till Ask.
För lite?
Även om det är bra att se Oracle trappa upp sitt säkerhetsspel, så var inte alla otrevliga av Oracle. Sophos Senior Security Advisor Chester Wisniewski skrev på sitt företags blogg att detta känns som för lite för sent. "Om ditt rykte är så dåligt och du utsätter mer än en miljard användare för dina brister, måste du svara snabbare."
Wisniewski fortsatte med att hävda att Oracle's prioriteringar var feljusterade och hade modet att attackera Larry Ellisons Oracle-märkta båt som nyligen vann America's Cup. "Lägg utmärkelsen på hyllan i lobbyn, sälj båten på tio miljoner dollar och hyra ingenjörerna som behövs för att uppdatera Java-patchcykeln till varje månad med reservkontan, " skrev Wisniewski. "3+ miljarder enheter kommer att tacka dig."
Att uppdatera din Java-installation är det bästa sättet att hålla dig skyddad mot Java-baserade attacker, som bakas i många exploit-satser och som ofta används av angripare. Naturligtvis kan du alltid dra i kontakten och inaktivera Java helt.
