Oracle выпускает аварийное исправление для эксплойта Java zero-day

Oracle выпустила аварийные исправления для Java в понедельник для устранения двух критических уязвимостей, один из которых активно используется хакерами в целенаправленных атаках.

Уязвимости, идентифицированные как CVE- 2013-1493 и CVE-2013-0809, расположены в 2D-компоненте Java и получили наивысшую возможную оценку воздействия от Oracle.

«Эти уязвимости могут быть удаленно доступны без проверки подлинности, т. Е. Могут быть использованы в сети без необходимости использования имени пользователя и пароля », - говорится в сообщении компании. «Чтобы успех был успешным, ничего не подозревающий пользователь, который запускал уязвимый релиз в браузере, должен посещать вредоносную веб-страницу, которая использует эти уязвимости. Успешные эксплойты могут влиять на доступность, целостность и конфиденциальность системы пользователя ».

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Недавно выпущенные обновления Bump Java для версий 7 Обновление 17 (7u17) и 6 Update 43 (6u43), пропуская 7u16 и 6u42 по причинам, которые не были сразу понятны.

Oracle отмечает, что Java 6u43 станет последним общедоступным обновлением для Java 6 и советует пользователям обновляться до Java 7. публичная доступность обновлений Java 6 должна была завершиться выпуском Java 6 Update 41, выпущенным 19 февраля, но, похоже, компания сделала исключение для этого аварийного патча.

Уязвимость CVE-2013-1493 была активно использована нападавших с по крайней мере в прошлый четверг, когда исследователи из охранной фирмы FireEye обнаружили атаки с использованием этого, чтобы установить кусок удаленного доступа вредоносного ПО под названием McRAT. Однако, похоже, Oracle была осведомлена о существовании этого недостатка с начала февраля.

«Хотя сообщения об активной эксплуатации уязвимости CVE-2013-1493 были недавно получены, эта ошибка была первоначально сообщена Oracle 1 февраля 2013 года, к сожалению, слишком поздно, чтобы быть включенным в выпуске Critical Patch Update для Java SE от 19 февраля », - сказал Эрик Морис, директор Oracle по обеспечению программного обеспечения, в понедельник в блоге.

Компания планировала установить CVE-2013- 1493 в следующем запланированном обновлении Java Critical Patch 16 апреля, сказал Морис. Однако, поскольку уязвимость стала использоваться злоумышленниками, Oracle решила выпустить патч раньше.

Две уязвимости, связанные с последними обновлениями, не влияют на работу Java на серверах, автономные Java-приложения для настольных приложений или встроенные приложения Java, Сказал Морис. Пользователям рекомендуется установить исправления как можно скорее, сказал он.

Пользователи могут отключить поддержку веб-контента Java на вкладке безопасности на панели управления Java, если им не нужна Java в Интернете. Параметры безопасности для такого контента по умолчанию установлены на высокий, что означает, что пользователям предлагается разрешить выполнение апплетов Java, которые неподписанны или самозаписываются внутри браузеров.

Это предназначено для предотвращения автоматической эксплуатации уязвимостей Java по сравнению с Web, но работает только в том случае, если пользователи могут принимать обоснованные решения о том, какие апплеты авторизуются, а какие нет. «Чтобы защитить себя, пользователи настольных компьютеров должны разрешать выполнение апплетов, когда они ожидают таких апплетов и доверяют их происхождению», - сказал Морис.