Vídeo: Install Oracle/Sun Java 7 Manually in Ubuntu Desktop (Setembre 2024)
Oracle ha publicat una altra actualització d'emergència per a Java. Aquesta és la tercera actualització d'emergència que la companyia va publicar el 2013 per solucionar els problemes de seguretat inexistents a Java que ja s'estaven utilitzant en atacs.
Les darreres actualitzacions, Java 7 actualització 17 i Java 6 actualització 43, van abordar CVE-2013-1493 i una vulnerabilitat relacionada (CVE-2013-0809), va dir Oracle en el seu assessorament de seguretat publicat dilluns. Ambdues vulnerabilitats afecten el component 2D de Java SE, que gestiona els gràfics en temps real i la reproducció d’imatges, segons una publicació al bloc d’Eric Maurice, director d’assegurament de seguretat del programari d’Oracle.
Segons tots els usuaris, els usuaris de Java haurien d’actualitzar immediatament a les darreres versions.
"Aquestes vulnerabilitats poden ser explotables de forma remota sense autenticació, és a dir, poden ser explotades a través d'una xarxa sense necessitat de nom d'usuari i contrasenya", va escriure Oracle.
Oracle va dir que els atacants poden enganyar els usuaris que no desitgin que visitin un codi d’allotjament de pàgina web maliciós que desencadeni aquests defectes de seguretat. Els investigadors van descobrir atacs en els ordinadors d’usuaris infectats en estat salvatge amb el trojan d’accés remot McRAT. McRAT contacta amb els servidors d'ordres i comandaments i es copia en els processos del sistema operatiu Windows.
Les explotacions, si tenen èxit, "poden afectar la disponibilitat, la integritat i la confidencialitat del sistema de l'usuari", va escriure Oracle.
Moltes actualitzacions, desactiveu si podeu
Oracle va actualitzar Java a mitjans de gener i a nou a principis de febrer amb actualitzacions d’emergència després que es presentessin informes durant el Nadal d’un seguit d’atacs a força de regs que afectaven diversos llocs. La companyia va llançar una actualització programada dirigida a 50 errors el 19 de febrer. Aquests dos errors es van informar a Oracle l'1 de febrer, però no es van poder incloure en l'actualització del 19 de febrer, va escriure Maurice.
Tenint en compte la propera actualització programada de Java era l'abril, la companyia va decidir alliberar un pegat fora de banda perquè el defecte s'utilitzava activament en atacs.
"Per ajudar a mantenir la postura de seguretat de tots els usuaris de Java SE, Oracle va decidir publicar una correcció per a aquesta vulnerabilitat i un altre error estretament relacionat tan aviat com sigui possible", va escriure Maurice.
Maurice va assegurar als usuaris que els problemes només estan presents en aplicacions Java que s’executen en navegadors web i no s’apliquen a Java que s’executa en servidors, aplicacions d’escriptori Java autònomes o aplicacions Java incrustades o programari basat en servidor Oracle. Molts experts en seguretat i l’equip de resposta d’emergència d’ordinadors (CERT) del Departament de Seguretat Nacional recomanen que els usuaris deshabilitin el complement Java en els seus navegadors si no l’utilitzen regularment.
Si l’usuari necessita Java, que cobreix la gran majoria d’usuaris d’empresa i d’educació, val la pena mantenir un navegador separat amb el connector Java instal·lat i utilitzar aquest navegador per accedir només a aquests llocs.
"És bo veure que Oracle respongui més ràpidament a les vulnerabilitats crítiques, però el temps passat ha estat capaç de fer una immersió més profunda en els problemes de seguretat de Java", va dir a SecurityWatch Lamar Bailey, director de recerca i desenvolupament de seguretat de nCircle. "Espero que Oracle ja hagi assignat un equip dels seus millors enginyers en seguretat per fer fora de problemes proactius qualsevol dels problemes de seguretat de Java restants, però fins aleshores els usuaris actualitzaran Java tan sovint quan actualitzin les signatures AV", va dir.
Java 6 va entrar al final de la vida aquest febrer, incitant a la preocupació de si Oracle deixaria o no la versió anterior inadequada. Oracle ha parchejat Java 6 en aquesta actualització, que encara utilitza molts usuaris. No està clar com Oracle gestionarà els pedaços per a Java 6 durant els pròxims mesos.
"Sempre he pensat que Oracle feia una bona tasca per assegurar els seus productes, però la recent erupció de vulnerabilitats de Java està fent que em perdi la fe", va dir Bailey, que va afegir que ara es pregunta quins tipus de problemes greus de seguretat hi ha en els altres productes d'Oracle..
S'han trobat més errors de Java
En un joc continuat de gats i ratolins, una actualització de Java significa que és hora de divulgar-se amb més vulnerabilitat. Adam Gowdiak, responsable de l'empresa de recerca polonesa Security Explorations, va trobar cinc problemes més de Java 7.
"Es van descobrir cinc nous problemes de seguretat a Java SE 7 (numerats del 56 al 60), que quan es combinen junts es poden utilitzar amb èxit per obtenir un bypass complet de la caixa de seguretat Java de seguretat a l'entorn de l'actualització 15 de Java SE 7", va escriure Gowdiak dilluns al dia. Llista de correu de bugtraq. Sembla que els atacants podrien utilitzar els problemes per trencar alguns dels controls de seguretat que Oracle ha implementat recentment, va dir Gowdiak. Els cinc problemes s’han d’utilitzar junts perquè l’atac tingui èxit. Gowdiak ja ha enviat informació detallada i codi de prova de concepte a Oracle.
Dos dels problemes també poden afectar Java 6, però això no s'ha confirmat.
"Java està demostrant ser el regal que continua donant als atacants", va dir Andrew Security , el director de les operacions de seguretat de nCircle, a SecurityWatch . Va predir atacs més dirigits contra grans corporacions i entitats governamentals. "Les males notícies amb Java segueixen empitjorant i no hi ha cap final a la vista", va dir.
