Vídeo: Java Runtime Environment not found FIX | How to install Java JRE Error on Windows 10 / 8 / 8.1 / 7 (Setembre 2024)
Oracle ha publicat una actualització d’emergència per tancar un error de seguretat greu a Java que ja feien servir els atacants per entrar en equips d’usuari.
El pegat fora de la banda aborda la vulnerabilitat crítica descoberta recentment al Java 7 d'Oracle, va dir Oracle en el seu assessorament de seguretat, publicat el 13 de gener. Es recomana als usuaris que actualitzin immediatament a Java 7 Update 11.
Java 7 Update 11 mitiga tant el CVE-2013-0422 (l’última vulnerabilitat) com CVE-2012-3174, un error d’execució de codi remot més antic que data del juny passat. Els dos defectes van rebre una qualificació del sistema comú de puntuació de vulnerabilitat de 10, la màxima puntuació possible en aquesta escala. En aquest pegat, Oracle va tancar el defecte i també va canviar la manera en què Java interactuava amb les aplicacions web.
"El nivell de seguretat predeterminat per a applets Java i aplicacions d'inici web s'ha passat de 'mitjà' a 'alt", va dir Oracle a la notificació.
Això vol dir que sempre se li demanarà a l’usuari abans que es pugui executar un applet Java sense signar o l’aplicació Web Start. Anteriorment, els applets i aplicacions Java funcionaven automàticament, ja que els usuaris tenien instal·lada la versió més recent de Java. Amb la configuració "alta", l'usuari sempre és avisat abans que s'execute qualsevol aplicació no signada de manera que els atacants no puguin llançar atacs silenciosos, va dir Oracle.
Patch fora de banda
Un pegat d’emergència d’Oracle és inusual. La companyia sol enganxar Java en un cicle trimestral, però probablement ha llançat aquesta correcció fora de banda perquè el codi d'atac que explota aquesta vulnerabilitat ja s'ha afegit a diversos kits d'explotació populars, inclosos "Blackhole" i "NuclearPack". Els kits de crimware faciliten la infecció dels ordinadors amb programari maliciós i la presa de màquines amb propòsits nefastos. Els investigadors ja han descobert llocs web que utilitzen el codi, tot i que de moment no se sap quants usuaris ja han estat compromesos.
Oracle va publicar anteriorment un pegat fora de banda la tardor passada després que els investigadors descobrissin un defecte d'execució remota similar.
Afecta Java als navegadors web, no a l'escriptori
És important recordar que les dues vulnerabilitats d’execució de codi remota solucionades en aquesta actualització són “aplicables només a Java als navegadors web perquè són explotables mitjançant applets de navegador maliciosos”, va escriure Eric Maurice, el director d’assegurament de seguretat del programari d’Oracle al bloc d’Oracle Software Security Assurance. Si no accediu regularment a llocs web que utilitzin Java, val la pena desactivar el connector Java al vostre navegador. A continuació es mostren les instruccions pas a pas sobre com desactivar Java de Neil Rubenking de SecurityWatch.
Moltes aplicacions d'escriptori i jocs populars (Minecraft, algú?) Utilitzen Java, però el client de Java local no està atacat.
"Aquestes vulnerabilitats no afecten Java en servidors, aplicacions d'escriptori Java o Java incrustats", va escriure Maurice.
