Video: Курган с газогорелочным устройством (September 2024)
Oracle har släppt en nöduppdatering för att stänga ett allvarligt säkerhetsfel i Java som redan använts av angripare för att bryta in användardatorer.
Den utanför bandet korrigerar den nyligen upptäckta kritiska sårbarheten i Oracle's Java 7, sade Oracle i sin säkerhetsrådgivare som släpptes 13 januari. En angripare skulle utnyttja den senaste bristen genom att lura användare att besöka en webbplats som kör en skadlig applet. Användare rekommenderas att omedelbart uppdatera till Java 7 Update 11.
Java 7 Update 11 mildrar både CVE-2013-0422 (den senaste sårbarheten) såväl som CVE-2012-3174, ett äldre exekveringsfel för fjärrkod från juni förra året. Båda bristerna fick ett gemensamt värderingssystem för gemensamt sårbarhetsresultat på 10, den högsta möjliga poängen på denna skala. I den här korrigeringen stängde Oracle felet och ändrade också hur Java interagerade med webbapplikationer.
"Standardsäkerhetsnivån för Java-appleter och webbstartapplikationer har höjts från" medium "till" hög ", sade Oracle i rådgivningen.
Detta innebär att användaren alltid blir ombedd innan en osignerad Java-applet eller Web Start-applikation kan köras. Tidigare körs Java-appletar och applikationer automatiskt om användarna hade den senaste versionen av Java installerad. Med den "höga" inställningen varnas användaren alltid innan någon osignerad applikation körs så att angriparna inte kan starta tysta attacker, sa Oracle.
Out-of-Band Patch
En akutlapp från Oracle är ovanlig. Företaget lappar vanligtvis Java på en kvartalscykel, men släppte sannolikt denna out-of-band fix eftersom attackkoden som utnyttjar denna sårbarhet redan har lagts till flera populära exploit-kit, inklusive "Blackhole" och "NuclearPack." Crimware-kit gör det lättare för brottslingar att smitta datorer med skadlig programvara och ta över maskinerna för sina egna onda ändamål. Forskare har redan avslöjat webbplatser som kör koden, även om det inte är känt för tillfället hur många användare som redan har äventyrats.
Oracle släppte tidigare en out-of-band patch förra hösten efter att forskare avslöjade en liknande exekveringsfel.
Påverkar Java i webbläsare, inte skrivbord
Det är viktigt att komma ihåg att de två sårbarheterna för exekvering av fjärrkod som fixas i den här uppdateringen "endast är tillämpliga på Java i webbläsare eftersom de kan utnyttjas genom skadliga webbläsarapplets", skrev Eric Maurice, Orakles programförsäkringsdirektör på Oracle Software Security Assurance Blog. Om du inte regelbundet öppnar webbplatser som kör Java, är det värt att inaktivera Java-plugin i din webbläsare. Här är steg-för-steg-instruktioner för hur du inaktiverar Java från SecurityWatchs Neil Rubenking.
Många stationära applikationer och populära spel (Minecraft, någon?) Använder Java, men den lokala Java-klienten är inte under attack.
"Dessa sårbarheter påverkar inte Java på servrar, Java-skrivbordsapplikationer eller inbäddad Java", skrev Maurice.
