Рубрикатор |
Все новости | Новости отрасли |
Устранены опасные уязвимости в Java
14 января 2013 |
Компания Oracle выпустила обновление, устраняющее опасную уязвимость в программной платформе Java, широко используемой в интернете.
Обновление вышло спустя три дня после того, как эксперты подразделения министерства национальной безопасности США по противодействию киберугрозам (US-CERT) призвали пользователей отключить надстройку Java для браузеров ввиду опасности обнаруженной бреши.Помимо уязвимости, о которой предупреждали специалисты US-CERT, обновление исправляет еще одну аналогичную ошибку в Java. Обе эти уязвимости позволяют злоумышленникам получить несанкционированный доступ к компьютеру, запустив на нем произвольный код.
Напомним, что на прошлой неделе эксперты по информационной безопасности из US-CERT сообщили, что в Java обнаружена уязвимость, используя которую злоумышленники могут запустить на атакуемом компьютере произвольный программный код.
Как отмечали специалисты, атака может быть осуществлена при посещении пользователем страницы, в которую внедрено зловредное Java-приложение. Такое приложение злоумышленники могут разместить на своем сайте, заманивая затем на него пользователей, а также внедрить приложение в "законопослушный" сайт.
Способствовать широкому применению уязвимости может ее добавление в специализированные программные пакеты, предназначенные для осуществления кибератак, а также размещение в интернете программного кода, с помощью которого эксплуатируется уязвимость, отмечается в сообщении.
Подвергнуться атаке могут компьютеры пользователей, посетивших с помощью браузера с включенной Java, страницу, содержащую зловредное приложение. Обеим ошибкам был присвоен наивысший рейтинг опасности (10 баллов) по шкале CVSS, используемой для оценки уязвимостей информационных систем. Максимальный балл эти уязвимости получили из-за простоты их эксплуатации злоумышленниками и тяжести последствий для атакуемых компьютеров.
"В связи с серьезностью этих уязвимостей, публичным раскрытием их технических деталей и сообщениях об использовании уязвимости CVE-2013-0422 (идентификатор одной из ошибок — ред.) в реальных условиях, Oracle настойчиво рекомендует клиентам применить обновление как можно быстрее", — говорится в сообщении компании.
Как отмечается в сообщении Oracle, уязвимости имеются только в надстройке Java для браузеров: на платформу Java, выполняющую установленные на компьютер программы, а также версии для серверов ошибки не распространяются.
Кроме исправления программных ошибок, обновление устанавливает в настройках Java (в панели управления платформы) высокий уровень безопасности по умолчанию взамен ранее использовавшегося среднего уровня. В соответствии с этой настройкой для запуска приложений Java, не имеющих цифровой подписи, потребуется явное разрешение пользователя.
Эксперты по информационной безопасности рекомендуют устанавливать платформу Java и включать надстройку Java для браузера только при необходимости. Помимо отключения Java в настройках самого браузера, пользователи, начиная с версии Java 7 Update 10, могут запретить выполнение Java-приложений в браузере с помощью панели управления Java.
До выпуска обновления компанией Oracle на обнаружение уязвимости отреагировали производители программного обеспечения, запретив частично или полностью выполнение приложений Java в своих продуктах. Так, компания Mozilla 11 января отключила автоматическое выполнение приложений Java в браузере Firefox: при просмотре страницы с внедренным приложением пользователю выдается предупреждение об уязвимости надстройки.
Применить обновление (версия Java 7 Update 11) можно загрузив дистрибутив с сайта Oracle или запустив процедуру обновления через панель управления Java.
По материалам РИА Новости
Читайте также:
Разработан инструмент инкрементальной миграции данных из СУБД Oracle в СУБД PostgreSQL
Oracle Cloud запустит облачный регион в Марокко
В России создадут стандартизованную платформу Java-разработки
Крупнейшая товарная биржа в России завершила переход на Axiom JDK Pro
Navicon поможет бизнесу перейти на российские Java-технологии Axiom JDK Pro и Libercat
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.