Video: How to install Java 6/7/8 in Ubuntu 13.04/13.10 (September 2024)
Oracle har utfärdat ytterligare en nöduppdatering för Java. Detta är den tredje nöduppdateringen som företaget släppte 2013 för att åtgärda gapande säkerhetsproblem i Java som redan användes i attacker.
De senaste uppdateringarna, Java 7-uppdatering 17 och Java 6-uppdatering 43, adresserade CVE-2013-1493 och en relaterad sårbarhet (CVE-2013-0809), sa Oracle i sin säkerhetsrådgivning som släpptes på måndag. Båda sårbarheterna påverkar 2D-komponenten i Java SE, som hanterar runtime-grafik och hur bilder återges, enligt ett blogginlägg från Eric Maurice, programförsäkringsdirektör på Oracle.
Alla Java-användare bör omedelbart uppgradera till de senaste versionerna, sade företaget.
"Dessa sårbarheter kan utnyttjas på distans utan autentisering, dvs de kan utnyttjas över ett nätverk utan behov av användarnamn och lösenord, " skrev Oracle.
Attacker kan lura intetanande användare att besöka en skadlig webbhotellkod som utlöser dessa säkerhetsbrister, sa Oracle. Forskare upptäckte attacker i naturen som infekterade användardatorer med McRAT-fjärråtkomst Trojan. McRAT kontakter kommandon och kontrollserver och kopierar sig själv till Windows-operativsystemprocesserna.
Om det lyckas utnyttjar "kan det påverka tillgängligheten, integriteten och konfidentialiteten i användarens system", skrev Oracle.
Massor av uppdateringar, inaktivera om du kan
Oracle uppdaterade Java i mitten av januari och återigen i början av februari med nöduppdateringar efter att rappor dök upp under jul om en serie vattenhålstilattacker som påverkar olika webbplatser. Företaget rullade ut en schemalagd uppdatering med 50 buggar den 19 februari. Dessa två buggar rapporterades till Oracle 1 februari, men kunde inte inkluderas i 19 februari-uppdateringen, skrev Maurice.
Med tanke på att nästa planerade Java-uppdatering var i april beslutade företaget att släppa en out-of-band patch eftersom felet aktivt användes i attacker.
"För att hjälpa till att upprätthålla säkerhetsställningen för alla Java SE-användare, bestämde Oracle att släppa en fix för denna sårbarhet och ett annat nära besläktat fel så snart som möjligt, " skrev Maurice.
Maurice försäkrade användare om att problemen bara finns i Java-applikationer som körs i webbläsare och inte gäller Java som körs på servrar, fristående Java-skrivbordsprogram eller inbäddade Java-applikationer eller Oracle-serverbaserad programvara. Många säkerhetsexperter och Department of Homeland Security Computer Emergency Response Team (CERT) rekommenderar att användare inaktiverar Java-plugin i sina webbläsare om de inte använder det regelbundet.
Om användaren behöver Java, som täcker en stor majoritet av affärsanvändare och utbildningsanvändare, är det värt att hålla en separat webbläsare med Java-plugin-programmet installerat, och använda den webbläsaren för att bara använda dessa webbplatser.
"Det är bra att se Oracle reagera snabbare på kritiska sårbarheter, men det är väldigt lång tid för dem att göra ett djupare dyk på Java: s säkerhetsproblem, " säger Lamar Bailey, chef för säkerhetsforskning och utveckling på nCircle, till SecurityWatch . "Jag hoppas att Oracle redan har tilldelat ett team av deras bästa säkerhetsingenjörer att proaktivt krossa något av de återstående Java-säkerhetsproblemen, men fram till dess kommer användare att uppdatera Java så ofta som de uppdaterar AV-signaturer, " sade han.
Java 6 gick in i slutet av livet i februari, med anledning till oro för om Oracle skulle lämna den äldre versionen oöverträffad. Oracle lappade Java 6 i den här uppdateringen, som fortfarande används av många användare. Det är inte klart hur Oracle kommer att hantera korrigeringar för Java 6 under de kommande månaderna.
"Jag har alltid tyckt att Oracle gjorde ett bra jobb med att säkra sina produkter, men den senaste tidens utslag av Java-sårbarheter gör att jag förlorar troen, " sa Bailey och tilllade att han nu undrar vilken typ av allvarliga säkerhetsproblem som finns i Oracle's andra produkter..
Fler Java-buggar hittades
I ett pågående spel med katt och mus betyder en Java-uppdatering att det är dags för mer avslöjande av sårbarhet. Adam Gowdiak, chef för det polska forskningsföretaget Security Explorations, hittade ytterligare fem Java 7-frågor.
"Fem nya säkerhetsproblem upptäcktes i Java SE 7 (numrerade 56 till 60), som när de kombineras tillsammans kan användas med framgång för att få en komplett Java-säkerhetssandbox-förbikoppling i miljön för Java SE 7-uppdatering 15, " skrev Gowdiak måndag på Bugtraq sändlista. Det verkar som att angripare skulle kunna använda problemen för att bryta några av de säkerhetskontroller som Oracle nyligen genomförde, sade Gowdiak. Alla fem frågor måste användas tillsammans för att attacken ska lyckas. Gowdiak har redan överlämnat detaljerad information och proof-of-concept-kod till Oracle.
Två av problemen kan också påverka Java 6, men det har inte bekräftats.
"Java visar sig vara den gåva som fortsätter att ge för angripare, " sa Andrew Storms, chef för säkerhetsoperationer på nCircle, till SecurityWatch . Han förutspådde mer riktade attacker mot större företag och myndigheter. "De dåliga nyheterna med Java blir bara värre och det finns inget slut i sikte, " sade han.
