Oracle releases emergency fix para sa Java zero-day exploit

Oracle ay naglabas ng mga emergency patches para sa Java noong Lunes upang tugunan ang dalawang kritikal na kahinaan, isa na kung saan ay aktibong pinagsamantalahan ng mga hacker sa naka-target na pag-atake.

Ang mga kahinaan, na kinilala bilang CVE- 2013-1493 at CVE-2013-0809, ay matatagpuan sa 2D na bahagi ng Java at natanggap ang pinakamataas na posibleng epekto ng marka mula sa Oracle.

"Ang mga kahinaan na ito ay maaaring malayo sa paggamit nang walang pagpapatunay, ibig sabihin, maaari silang mapagsamantalahan sa isang network nang walang pangangailangan para sa isang username at password, "sinabi ng kumpanya sa isang alerto sa seguridad. "Para sa isang mapagsamantalang maging matagumpay, ang isang mapagtiwala na gumagamit na tumatakbo sa isang apektadong paglabas sa isang browser ay dapat bumisita sa isang nakakasamang web page na gumagamit ng mga kahinaan na ito. Ang mga matagumpay na pagsasamantala ay maaaring makaapekto sa availability, integridad, at pagiging kompidensiyal ng sistema ng gumagamit. "

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang mga bagong inilabas na pag-update ay bumangkol sa Java sa mga bersyon 7 Update 17 (7u17) at 6 I-update ang 43 (6u43), laktawan ang higit sa 7u16 at 6u42 para sa mga kadahilanan na hindi kaagad na malinaw.

Oracle ang mga tala na ang Java 6u43 ay magiging huling update sa publiko na magagamit para sa Java 6 at nagpapayo sa mga user na mag-upgrade sa Java 7. ang availability ng publiko ng Java 6 update ay dapat na wakasan sa Java 6 Update 41, na inilabas noong Pebrero 19, ngunit tila ang kumpanya ay gumawa ng isang pagbubukod para sa emergency patch.

Ang CVE-2013-1493 kahinaan ay aktibong pinagsamantalahan sa pamamagitan ng attackers dahil hindi bababa sa huling Huwebes, kapag natuklasan ng mga mananaliksik mula sa security firm na FireEye ang pag-atake gamit ang pag-install ng isang piraso ng remote access malware na tinatawag na McRAT. Gayunpaman, tila na ang Oracle ay may kamalayan ng pagkakaroon ng kapintasan mula noong simula ng Pebrero.

"Kahit na ang mga ulat ng aktibong pagsasamantala ng kahinaan CVE-2013-1493 ay kamakailan-lamang na natanggap, bug na ito ay orihinal na iniulat sa Oracle noong Pebrero 1, 2013, sa kasamaang-palad huli na kasama sa Pebrero 19 na release ng Critical Patch Update para sa Java SE, "sabi ni Eric Maurice, direktor ng software ng Oracle na katiyakan, sa isang blog post na Lunes.

Ang kumpanya ay binalak upang ayusin ang CVE-2013- 1493 sa susunod na nakatakdang Java Critical Patch Update noong Abril 16, sinabi ni Maurice. Gayunpaman, dahil ang kahinaan na sinimulan na pinagsamantalahan ng mga attackers, nagpasya ang Oracle na palabasin ang isang patch nang mas maaga.

Ang dalawang mga kahinaan na tinutugunan ng mga pinakabagong update ay hindi nakakaapekto sa Java na tumatakbo sa mga server, stand-alone Java desktop application o naka-embed na Java application, Sabi ni Maurice. Ang mga gumagamit ay pinapayuhan na i-install ang mga patches sa lalong madaling panahon, sinabi niya.

Ang mga gumagamit ay maaaring hindi paganahin ang suporta para sa Web-based na Java na nilalaman mula sa tab ng seguridad sa Java control panel kung hindi nila kailangan ang Java sa Web. Ang mga setting ng seguridad para sa naturang nilalaman ay naka-set sa mataas sa pamamagitan ng default, na nangangahulugang ang mga gumagamit ay sinenyasan na pahintulutan ang pagpapatupad ng mga applet ng Java na hindi linagdaan o naka-sign sa loob ng mga browser.

Ito ay dinisenyo upang maiwasan ang awtomatikong pagsasamantala sa mga kahinaan ng Java sa ibabaw ng Web, ngunit gumagana lamang kung ang mga gumagamit ay may kakayahang gumawa ng matalinong mga pagpapasya tungkol sa kung aling mga applet ang pahihintulutan at hindi. "Upang protektahan ang kanilang sarili, ang mga gumagamit ng desktop ay dapat lamang payagan ang pagpapatupad ng mga applet kapag inaasahan nila ang mga applet at pinagkakatiwalaan ang kanilang pinagmulan," sabi ni Maurice.