Vídeo: Mammoth - Channels Demo (Setembre 2024)
Al juny, us vam parlar de com Oracle es va comprometre a millorar amb Java i a actualitzar la plataforma amb més freqüència. Aquesta va ser la làpida d'una sèrie d'episodis vergonyosos en què Java s'utilitzava una i altra vegada per atacar els usuaris. Aquesta setmana, Oracle ha llançat la primera d'una nova sèrie d'actualitzacions per a Java, que esperen que faci que els tres mil milions de dispositius que facin funcionar el seu producte siguin més segurs. Això podria ser cert, però l’actualització és tremendament gran i té implicacions igualment terrorífiques.
Patching Faster
Anteriorment, Java s’actualitzava tres vegades a l’any, però a partir d’aquesta setmana s’actualitzarà trimestralment juntament amb la resta de productes d’Oracle com a part de la seva actualització crítica de pedaç o CPU (veig el que vau fer allà, Oracle).
En conjunt, l'actualització inclou 127 solucions de seguretat. D’aquestes, 51 corresponen a Java i, aquí és la por espantosa, 50 d’aquestes vulnerabilitats, en paraules d’Oracle, poden ser “explotables de forma remota sense autenticació”.
Però oh, millora. Al blog Qualys, el CTO Wolfgang Kandek escriu "12 vulnerabilitats que tenen la puntuació CVSSv2 més alta de 10, indicant que aquestes vulnerabilitats es poden utilitzar per prendre el control total sobre la màquina atacada a la xarxa sense requerir autenticació". A continuació, assenyala que la majoria de les actualitzacions afecten els usuaris de portàtils i escriptoris (per exemple, tu, llegint això, ara mateix), però hi ha dues actualitzacions molt importants relacionades amb les instal·lacions del servidor.
Hora d’actualitzar!
La majoria dels usuaris probablement rebran actualitzacions automàticament, però, només per assegurar-se, Oracle ha proporcionat una pàgina útil per provar quina versió estàs executant. Si detecta una instal·lació obsoleta, us demanarà que descarregueu i instal·leu l'actualització. Tingueu en compte que la versió més recent d'aquesta setmana és l'actualització 45 de Java 7.
Tindré un instant ràpid per recordar als usuaris que siguin molt curosos a l’hora d’actualitzar manualment Java perquè intentarà convèncer-vos que instal·leu la barra d’eines Ask.com i canvieu el motor de cerca predeterminat per Ask.
Massa petit?
Tot i que és bo veure Oracle augmentar el seu joc de seguretat, no tothom va perseguir el moviment d'Oracle. L’assessor de seguretat superior de Sophos, Chester Wisniewski, va escriure al blog de la seva empresa que això se sent massa poc tard. "Si la vostra reputació és aquesta pobra i exposa més de mil milions d'usuaris als vostres defectes, haureu de respondre amb més rapidesa".
Wisniewski va continuar per insinuar que les prioritats d'Oracle estaven mal alineades i va tenir l'audàcia d'atacar el vaixell de marca Oracle de Larry Ellison que recentment va guanyar la Copa dels Estats Units. "Posa el premi al prestatge del vestíbul, ven el vaixell de deu milions de dòlars i contracta els enginyers necessaris per actualitzar mensualment el cicle de pegat de Java amb efectiu de recanvi", va escriure Wisniewski. "Més de 3 mil milions de dispositius us ho agraïran."
L'actualització de la instal·lació de Java és la millor manera de mantenir-se protegit contra atacs basats en Java, que es cuinen en molts kits d'explotació i que solen utilitzar els atacants. Per descomptat, sempre podeu treure el connector i desactivar Java del tot.
