Oracle бросает другое обновление Java, исправляя 50 уязвимостей

После того, как исследователи безопасности обнаружили уязвимости в последнем обновлении Java, выпущенном в январе, Oracle упустила досрочно еще один набор исправлений для языка программирования.

Последнее обновление, первоначально запланированное к выпуску в феврале 19, содержит 50 исправлений безопасности для 49 недостатков, которые можно было использовать удаленно без разрешения. Это означает, что они могут использоваться в сети без ведома имени пользователя и пароля.

Oracle заявила, что она обновляется раньше, потому что одна из уязвимостей, упомянутых в обновлении, уже используется в дикой природе.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows »

« Из-за угрозы, создаваемой успешной атакой, Oracle настоятельно рекомендует клиентам как можно скорее применять исправления ЦП », - предупредила компания в совете по обновлению.

Oracle бросился из-за исправления безопасности для Java в январе после того, как команда Microsoft по готовности к чрезвычайным ситуациям (US-CERT) рекомендовала, чтобы программное обеспечение было отключено всеми его пользователями из-за проблем с безопасностью. Эти проблемы включали уязвимость Zero Day, которая использовалась инструментами, созданными киберпреступниками и использовавшимися для кражи конфиденциальной информации с компьютеров.

Даже после выпуска этого исправления, обновления для Java 7 11, агентство по-прежнему рекомендовало отключить Java, если только использование не было абсолютно необходимо.

Быстро стало очевидно, что исправление 7u11 пропустило свой след. Спустя несколько дней после его выпуска хакер начал продавать на черном рынке онлайн пару новых уязвимостей Java Zero Day за 5000 долларов США.

Другие хакеры, возможно, не обладающие навыками поиска уязвимостей, начали использовать заголовки о бедах Java, установив фишинговые экспедиции, предлагающие поддельные обновления языка программирования Oracle. После установки пользователем поддельное обновление устанавливает заднюю дверь в систему, которая позволяет хакеру контролировать ее.

Неисправности, обнаруженные в обновлении

Несчастья Java продолжаются, когда позже в месяце Security Explorations, польская фирма по безопасности с история обнаружения недостатков безопасности в Java, обнаружила новые уязвимости в обновлении 7u11, которые могут быть использованы для предотвращения использования песочницы программы - метод программирования, используемый для изоляции вредоносного кода вредоносного кода, может сделать для системы.

«Эти проблемы будут продолжаться до тех пор, пока Oracle не исправит песочницу », - сказал в интервью интервью старший аналитик по электронной угрозе Bitdefender Богдан Ботезату.

Botezatu критиковал, насколько Oracle полагался на пользователей для обеспечения безопасности в обновлении 7u11.

Например, обновление устанавливает по умолчанию самый высокий уровень безопасности для Java. На этом уровне всякий раз, когда неподписанный Java-апплет пытается запустить браузер, появляется сообщение, предупреждающее пользователя о том, что приложение может быть опасным и что пользователь должен действовать на свой страх и риск.

Обычно пользователи игнорируют такие предупреждения, они находят их раздражающими. Это особенно верно для детей, которые играют в Java-игры в Интернете, - отмечает Ботезату, не теряясь на цифровых отчаяньях. «Я видел множество сайтов, на которых запущено вредоносное ПО на страницах, которые были оптимизированы с помощью ключевых слов, предназначенных для детей», - сказал он.

С последним обновлением Java Oracle может попытаться изменить свою удачу с программой. Похоже, что он пропустил обновление 12 в своей схеме нумерации и определил последнюю версию исправлений обновления для Java 7 13.